[wireshark] помогите ламеру разобрать заснифаное (вытащить пароль)

Discussion in 'Soft - Windows' started by localhostroot, 10 Feb 2010.

  1. localhostroot

    localhostroot New Member

    Joined:
    22 Dec 2008
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    приветствую.
    сразу говорю никогда такое не делал.
    wireshark - просто монстр с кучей непонятного
    хотя принцип работы конечно же ясен.

    сейчас я логирую все пакеты в\на свой внешний интерфейс.
    с целью выудить оттуда логин\пасс для вконтакта.
    ведь вроде в открытом виде передаются?

    подскажите пжлста, куда хоть копать чтоб это сделать?
    приветствуются ответы более конкретные чем "в гугл \ в мануал!".

    куда вообще копать?

    а если кто-то не поленится расписать в деталях что и как... тому вообще огромное спасибо.
    (уверен что не слишком много действий нужно проделать).
     
  2. guard_force

    guard_force Elder - Старейшина

    Joined:
    12 Aug 2008
    Messages:
    31
    Likes Received:
    1
    Reputations:
    0
    В открытом виде логин и пароль не передаются, передается хэш.Ищи протокол http, get/ vkontakte.ru, а внутри ищи строчку cookie: guid=
     
    #2 guard_force, 11 Feb 2010
    Last edited: 11 Feb 2010
  3. undef

    undef New Member

    Joined:
    23 Sep 2009
    Messages:
    19
    Likes Received:
    4
    Reputations:
    5
    неправильно. Все передается в открытом виде, даже SSL не используется.

    Если нужна краткая инструкция, то:
    1. Получив доступ к компьютеру, через который проходят запросы пользователя к вконтакту, делаем дамп трафика.
    tcpdump -i интерфейс -s 4096 -r файл.tcpdump
    2. Когда нужный нам запрос точно попал в файл, анализируем его.

    Аутентификация на вконтакте проходит в два шага - перед отправкой формы, он делает аякс-зарос почтового ящика или логина, который указали в поле.
    Если такой существует в базе, то форма с логином и паролем отправляется в незашифрованном виде на login.vk.com.

    Если посмотреть в файле дампа момент когда была отправлена форма, можно найти два TCP-потока, первый это отправка ajax-запроса на подтверждение логина, второй, это непосредственно форма с паролем.

    Можно конечно просто поиском в текстовом редакторе найти в дампе строчку "Host: login.vk.com", но более правильным будет открыть полученный дамп в wireshark'е, ввести в поле фильтра http.host == "login.vk.com", и получить совсем немного записей. follow TCP Stream для каждой из них даст примерно следующий результат:

    POST / HTTP/1.1
    Host: login.vk.com
    Connection: keep-alive
    User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/532.6 (KHTML, like Gecko) Chrome/4.0.261.0 Safari/532.6
    Referer: http://vkontakte.ru/login.php?r=1&email=test%40test.ru
    Content-Length: 102
    Cache-Control: max-age=0
    Origin: http://vkontakte.ru
    Content-Type: application/x-www-form-urlencoded
    Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.6,en;q=0.4
    Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.3

    act=login&success_url=&fail_url=&try_to_login=1&to=&vk=&email=wolong%40sibears.org&pass=ПАРОЛЬ&expire=
     
    1 person likes this.
  4. Lum

    Lum New Member

    Joined:
    24 Feb 2010
    Messages:
    0
    Likes Received:
    1
    Reputations:
    0
    если локальная сеть то лучше сайн + icq snif и вся сеть у тя в кармане
     
  5. localhostroot

    localhostroot New Member

    Joined:
    22 Dec 2008
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    nрафик был снят с прокси-сервера.

    undef,
    спасибо.
    сейчас попробую
     
  6. -=SmallPox=-

    -=SmallPox=- New Member

    Joined:
    15 Sep 2011
    Messages:
    34
    Likes Received:
    1
    Reputations:
    0
    udef подскажите, где по подробнее прочитать про Опции фильтра ???
     
    1 person likes this.
  7. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,433
    Reputations:
    377
    А ничего, что запрос авторизации идет через https://login.vk.com :
    [​IMG]

    Какая уж тут передача пароля/логина в открытом виде???
     
    _________________________
    #7 user100, 4 Dec 2012
    Last edited: 4 Dec 2012
  8. Timik

    Timik New Member

    Joined:
    24 Mar 2013
    Messages:
    14
    Likes Received:
    0
    Reputations:
    0
    Это сейчас, когда шло это обсуждение, авторизация шла через http.
     
  9. BeeRAbuseR

    BeeRAbuseR New Member

    Joined:
    19 Dec 2013
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Хочу достать пароль или куки от вконтакта через Wireshark+Cain у человека который сидит в нём через мою вафлю. Если пробивать свой комп через Wireshark, то нахожу там строку [​IMG]

    это и есть куки, а если человек сидит с телефона, то там такой строки нет, а есть только вот это

    [​IMG]

    должны же как-то куки браться оттуда или пароль? подскажите. http с телефона, кстати.
     
  10. M0t0rist

    M0t0rist Member

    Joined:
    7 Apr 2008
    Messages:
    10
    Likes Received:
    9
    Reputations:
    0
    Во первых этот пакет не для вк, Host посмотри.
    Во вторых - на телефонах сейчас по большей части сидят из ВКприложения, там куков нет, там более интересная история. снифай пакеты и смотри.