Сниффинг Flash Player

Discussion in 'Реверсинг' started by Rastamanka, 11 Jul 2011.

  1. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    429
    Likes Received:
    11
    Reputations:
    7
    Подскажите нормальный сниффер под Adobe Flash Player.
    Суть в том что есть игра которая используя swf файлы открывает коннект с сервером на рандомном порту и передает значения на него. Так вот надо эти значения отснифать чтобы можно было нормально прочитать что передается серверу и какой ответ приходит. Я использовала FireFox и WpePrо. Выбирала процесс plugin-container.exe и его снифала. Но меня не утраивает вид в котором показывает отчет WpePro. И чтобы можно было потом его подменить.
    А конкретно не устраивает потому что Send выглядит вот так
    А Recv вот так
    Хотелось бы видить точно что именно передается серверу.
     
    #1 Rastamanka, 11 Jul 2011
    Last edited: 11 Jul 2011
    1 person likes this.
  2. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    429
    Likes Received:
    11
    Reputations:
    7
    Боюсь вы не оч понимаете о чем я говорю ) Дело в том что флешки в контакте работает не по тому принципу. А именно они передают данные по http протоколу именно по этому Charles может их снифать. А я говорю о том что флешка подает запрос на сервер который в свою очередь открывает порт и по этому порту передаются данные. так что Charles тут не поможет.
     
  3. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,185
    Likes Received:
    618
    Reputations:
    690
    попробуйте ComView или Wireshark если я вас правильно понял..
     
    _________________________
  4. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    429
    Likes Received:
    11
    Reputations:
    7
    Wireshark до этого пробовала но к сожалению не знаю как там выбрать снифинг тока на 1 процесс, а то там стока пакетов идет что отличить какой есть что оч тяжело.
     
  5. Pir4tt

    Pir4tt Elder - Старейшина

    Joined:
    3 Jan 2008
    Messages:
    73
    Likes Received:
    36
    Reputations:
    5
    На один процесс он никак не отснифает.. Попробуй CurrPort'ом посмотреть какие порты открыл нужный тебе процесс и дальше в WSh отфильтровать уже по ip и портам
     
  6. Apocalypse

    Apocalypse New Member

    Joined:
    30 Jul 2007
    Messages:
    0
    Likes Received:
    4
    Reputations:
    0
    Да там скорее всего все пошифровано, не думаю, что разрабы в открытую стали бы передавать данные =)

    CommView норм снифер, там смотри по процессу, что куда ломится.
     
  7. bliss

    bliss New Member

    Joined:
    7 Jul 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    Никак. Не умеет он такого, да и не критично совершенно.
    Фильтруй по destination host/port. Куда именно ломится можно предварительно оценить по netstat'у или монитору подключений в локальном фаерволле, если так влом на время отключить траффикогенерирующие процессы.
     
    #7 bliss, 12 Jul 2011
    Last edited: 12 Jul 2011
  8. bliss

    bliss New Member

    Joined:
    7 Jul 2011
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    имхо, максимум изврата, что там может быть - HTTPS на нестандартном порту
     
  9. ZnikiR

    ZnikiR Member

    Joined:
    14 Jan 2009
    Messages:
    117
    Likes Received:
    21
    Reputations:
    -5
    Пару месяцев поднимал такую же тему.Я так и не нашел чем можно снифать удобно.
     
  10. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    Самый удобный имхо сниффер это wireshark. Достаточно его фильтрацию настроить типа "tcp && tcp.dstport==888" и дело в шляпе. А вообще надо было сразу флеш декомпилировать и изучить методы которые отсылают и принимают информацию и уже только после этого начинать что-то перехватывать
     
  11. randman

    randman Members of Antichat

    Joined:
    15 May 2010
    Messages:
    1,366
    Likes Received:
    610
    Reputations:
    1,101
    Там что то наподобие SSL+Алгоритм шифрования и защиты от пользователя. Встречал что то наподобие, расшифровать можно если только декомплимировать флеш и узнать алгоритм.
     
  12. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    429
    Likes Received:
    11
    Reputations:
    7
    Тяжко расшифровывать и декомпилировать т.к. там swf файлов около 200 штук. Пока все проанализировать.... Как бы определить какой из них данные передает. Через обычный снифер не получается. А через Wireshark не видно с какого файла идет запрос
     
  13. neprovad

    neprovad Elder - Старейшина

    Joined:
    19 Oct 2007
    Messages:
    900
    Likes Received:
    275
    Reputations:
    59
    заюзайте инфу отсюда
    http://blackninja2000.narod.ru/rus/swf_avm_tracer.html
    должно помочь
     
  14. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    429
    Likes Received:
    11
    Reputations:
    7
    Спасибо попробую воспользоваться. Но боюсь не получиться т.к. в игре есть ограничение на версию Flash можно использовать не ниже 10.3 а в программе использовать надо 10.0 ) Вообще для декомпиляции использую RABCDAsm.
    Надеюсь что нить получиться.
     
  15. justonline

    justonline network ninja

    Joined:
    27 Jul 2011
    Messages:
    499
    Likes Received:
    60
    Reputations:
    53
    возникла трабла с снифом трафа с флешек которые с прелоадом. непосредственно флешка подгружается и открывается в лоадере. расковырял лоадер, вытащил линк на флешку, расковырял флешку. по AS там чотка видно, что должны передаваться параметры x,y,z координат и прочего. ставлю чарльз/http headers/tamper data и комвью. ничего более пинговки я отснифать не могу. почему? я же передаю информацию серверу.


    p.s. игра не с мылару и не вконтакта...
    и вообще просто зарегавшись в нее не поиграешь, это как бонус к другой игре при достижении определенного лвл.(по этому думаю особой защиты там нет)
     
  16. Rastamanka

    Rastamanka Elder - Старейшина

    Joined:
    26 Nov 2008
    Messages:
    429
    Likes Received:
    11
    Reputations:
    7
    Та же самая проблема. Уже все перерыла толку ноль:( Если кто знает подскажите.
     
  17. seosimf

    seosimf Member

    Joined:
    3 Mar 2011
    Messages:
    271
    Likes Received:
    44
    Reputations:
    6
    Скорей всего трафик не http(s) идет - тут спускаться ниже по стеку протокола(привет WireShark).
     
  18. sn0w

    sn0w Статус пользователя:

    Joined:
    26 Jul 2005
    Messages:
    1,023
    Likes Received:
    1,311
    Reputations:
    327
    вайршарк да, но пикап, на котором он работает - вяжется на NDIS со всеми вытекающими (т.е. проканает если приходящий адрес к твоей сетевухе - белый). а в случае впн итд нужен сниффер выше уровнем (TDI), Microsoft Network Monitor например. фильтрует также конпелируемым фильтром + разделяет трафф по инициировавшим процессам.


    [​IMG]

    [​IMG]

    абсолютно также мутится снифф впн по впн. те у меня подключение provider LAN --> inet (VPN) --> work (VPN) --> work LAN
    .настройки теже.

    [​IMG]

    ну и касаемо фильтров - такое например - в порядке вещей:
    ((ipv4.SourceAddress & 255.255.0.0) == 192.168.0.0) || ((ipv4.DestinationAddress & 255.255.0.0) == 192.168.0.0)

    это например снифф тока траффа подсети 192.168.0.0

    так что данному снифферу я отдаю большее предпочтение
     
    #18 sn0w, 28 Oct 2011
    Last edited: 28 Oct 2011