Parce que parfois on peut se retrouver devant sa propre porte...

http://konace.info/-societe/anarchie/crochetage/crochetage.html

Y'a quoi dans mon pcap

Parfois, un éditeur hexadécimal  pour fouiller dans un fichier data (raw) qui provient d'un pcap ça fait mal à la tête.
York est passé par là. A noter qu'il est possible de faire directement des captures avec ce logiciel.

Quelques précisons, in english :

York::Log all network traffic

Description:

• Log source, destination [fqdn or ip address] and packet size of all network traffic on your network, of course also outbound traffic. The network card will be set into promiscuous mode.
• Save sniffed HTTP and FTP files. Just for fun, pictures are shown in a slideshow and in a screensaver like window.
• Sniff for HTTP, FTP, POP3, SMTP, SMB, VNC and AIM password/hash and HTTP cookies like 'GX'.
• Select a client and follow his clicks in your browser. [WebSession]
• Screensaver included. Shows sniffed pictures in a slideshow.
• For advanced user: You can capture traffic into a pcap file, send a pcap file and replay a pcap file.
• For advanced user: You can restrict captured traffic by tcpdump filters.

Please note, WinPcap [www.winpcap.org] is used to get the network traffic. The Setup will install WinPcap automatically.
The columns in the log file are tabulator separated for easy import into Excel or so.
One line in the log file looks like this:

19.08.2003 02:49 [0:01:03] theszdbg <-> www.traffichome.com http 55 kByte 56329 Bytes

If your need more or other information in the logfile or have feature requests, please send me an mail.

Active connections and their data volume:

Sniffed HTTP and FTP files:

Sniffed HTTP, FTP, POP3, SMTP, SMB, VNC and AIM passwords/hash's:

Slideshow of sniffed HTTP and FTP pictures:

Source : http://thesz.diecru.eu/content/york.php

Je suis sur le net, mais je passe par ou et je laisse quoi comme traces ?

1) Proxy ou pas : http://www.lagado.com/proxy-test
2) Mes traces : http://www.anonymat.org/vostraces/index.php et le site de la CNIL

L'effet flamby, l'effet steisand

Pour celles et ceux qui ne connaissent par ces différents effets, vous trouverer ci dessous une très bonne conférence de Benjamin Baillard  :

http://lacantine.ubicast.eu/videos/pses-leffet-flamby/

WifiZoo

Introduction

Wifizoo est un outil de capture d'informations à partir de réseau wifi ouvert.

Configuration dans BT3 beta

Editez: /usr/local/etc/kismet.conf
ligne 27 : indiquez votre interface wifi. ex :

source = rt73,rausb0,Ralink

Lancez Kismet

kismet -x

Editez: /pentest/wireless/wifizoo/scapy.py
ligne 13215 : AJOUTEZ la ligne et indiquez votre interface wifi. ex :

conf.iface = 'rt73,rausb0,Ralink'

Editez: /pentest/wireless/wifizoo/wifizoo.py
ligne 49 : indiquez votre interface wifi. ex :

conf.iface = 'rausb0'

Ensuite il ne reste plus qu'à lancer wifizoo.py dans un shell.

Usage

Wifizoo en mode live

version 1.3 et 1.4

démarrage

placez vous dans le répertoire de wifizoo et tappez :

python wifizoo.py

Choix du mode Live ou Pcap

sélectionnez votre interface

Scan aléatoire ou fixé sur un seul channel

Choix de la bande (A/BG/ABG)

Choix du server local pour afficher le gui html : LO

Interface graphique

Nous allons utiliser les onglets pour accéder aux différents types d'information capturés (cookies, ftp data, etc...)

Exemple de capture de données ftp, ip, user pass :)

Exemple de captures de cookies, punbb et gmail :)

Cliquer sur le lien afin de forger le cookie

Une fois le cookie forgé, il faut cliquer sur l'ip pour accéder à la page que la victime est en train de consulter

On arrive sur la page "d'accueil" et comme on l'a vu précédemment, la personne surfait sur gmail, donc on va cliquer sur gmail, logique.

Et voila, nous nous trouvons dans la session gmail.

Wifizoo en mode Pcap

ATTENTION : seulement disponible avec la version 1.4 (version 1.3 + patch)

Récuperation d'un fichier cap

Suite à un scan avec airodump, nous nous retrouvons avec un fichier cap. Au lieu de s'amuser à l'analyser avec wireshark pour en tirer des infos intéressantes, nous allons utiliser wifizoo qui va s'occuper de nous trouver le meilleur :)

Décryptage du fichier

Il peut arriver que notre fichier soit cryptà par une protection ultra résistante comme le WEP. Dans ce as nous allons utliser l'outil decrypt pour les décrypter.
dans un shell tappez :

bt wiscan # decrypt -p MA:KE:YW:EP:00 -m MA:ST:AT:IO:N! -e capture-01.cap -d capture.cap

démarrage

placez vous dans le répertoire de wifizoo et tapez :

python wifizoo.py

Choix du mode Live ou Pcap

Entrez le chemin du fichier de capture

Ca fonctionne

Choix du server local pour afficher le gui html : LO

On constate que les données sont bien interpretées

Interface graphique

Nous allons utiliser les onglets pour accéder aux différents types d'information capturés (cookies, ftp data, etc...)

Exemple de captures de cookies, punbb :) Cliquer sur le lien afin de forger le cookie

Une fois le cookie forgé, il faut cliquer sur l'ip pour accéder à la page que la victime est en train de consulter

Et voila, nous nous trouvons loggué dans la session de la victime.

bonne capture

Vidéo

Wifizoo 1.3, vol de session gmail : http://backtrack-fr.net/test/wifizoo13.ogv

Liens externes 

Wifizoo 1.3, vol de session gmail : http://backtrack-fr.net/test/wifizoo13.ogv

 

Installing THC-Hydra6.1 on Ubuntu 10.10 (Maverick Meerkat) with SSL support

Wikipedia describes THC-Hydra as “… software … that uses a dictionary attack to test for weak or simple passwords on one or many remote hosts running a variety of different services.” Its useful for doing quick tests against your servers to make sure that your users are not using simple passwords. In pen tester speak, this is called a brute-force attack.
Here are the steps needed for installing it on the 32-bit version of Ubuntu 10.10 (Maverick Meerkat).
Make sure you have all the necessary development tools (i.e. libraries, compilers, headers) and the source files for GTK:

sudo apt-get install build-essential linux-headers-$(uname -r) libgtk2.0-dev libssl-dev cmake

Before we compile Hydra, we need to install libssh. For some odd reason, hydra does not like the libssh-dev package that comes with Ubuntu.

wget -c http://www.libssh.org/files/0.4/libssh-0.4.6.tar.gz
tar -xvzf libssh-0.4.6.tar.gz
cd libssh-0.4.6
mkdir build
cd build
cmake -DCMAKE_INSTALL_PREFIX=/usr -DCMAKE_BUILD_TYPE=Debug ..
make
sudo make install
cd ../..

Download and extract the THC-Hydra tarball

wget -c http://edwincastillo.com/wp-content/uploads/2010/12/hydra-6.1-src.tar.gz
tar -xvzf hydra-6.1-src.tar.gz
cd hydra-6.1-src

Now you are ready to compile:

./configure
make
sudo make install

You are now ready to use Hydra. Type ./hydra -h to get syntax help. The GUI version can be started by running xhydra.
If you have a GMail account with IMAP enabled, you can use the following example to test hydra:

hydra -S -l email@gmail.com -p your_password -V imap.gmail.com imap

Limitation de connexions avec iptables

Le script

Il est court mais bref :

IPT=/sbin/iptables
WEBMAXPERMIN="260"
WEBBURST="40"

$IPT -N throttle

# hashlimit-htable-expire en millisecondes
$IPT -A throttle -m hashlimit \
--hashlimit-name webthrottle \
--hashlimit-upto $WEBMAXPERMIN/minute \
--hashlimit-mode srcip \
--hashlimit-burst $WEBBURST \
--hashlimit-htable-expire 300000 \
-j ACCEPT
$IPT -A throttle -j LOG --log-prefix "FREIN " --log-level 1
$IPT -A throttle -j REJECT

#puis dans le INPUT
$IPT -A INPUT -d $ETH00 -p tcp -m tcp --dport 80 --tcp-flags FIN,SYN,RST,ACK SYN -j throttle

L'explication

Et il est aussi simple lorsqu'on connait hashlimit.
Tout d'abord on créé une règle nommée throttle qui utilisera hashlimit pour éjecter des paquets en fonction de leur nombre.

• On met en mode srcip : filtrage en fonction de la source seulement, donc même si le port change, on prend la même entrée dans la table
• On choisit une limite à 260 paquets par minute (pourquoi pas)
• On choisit un burst de 40 et une expiration de 300s et là il faut un peu plus d'explication.

Le burst c'est la possibilité de dépasser la limite autorisée pendant un temps donné. Ce burst se mesure par rapport à la limite du nombre de paquet par seconde. Par exemple un burst de 10 avec un maximum de 5 paquet par seconde donne un burst de 50 paquets. Ici ca nous donne 260/60*40=173 paquets. Pourquoi ce calcul ? Je ne sais pas mais c'est ce que j'ai constaté dans les sources.
Attention le burst est un nombre de paquets mais pas par seconde. C'est un nombre qui lorsqu'il est atteint provoque l'application de la règle. Par exemple, si quelqu'un passe 174 fois dans cette règle en 1s il se fera couper de même s'il passe 179 fois en 2s.
La première limite à cela est l'expiration de l'entrée. Si le bourrin ne fait rien pendant la période d'expiration, il a le droit de revenir après (ici 300s).
S'il ne dépasse pas son burst, il a aussi le droit de revenir mais cette fois à la vitesse maximale autorisée (ici de 4.3 paquets/s).
Et enfin, on fait passer les paquets en entrée sur le port 80 (on protège le serveur web) dans cette règle. On veut limiter les connexions, donc on y fait passer les paquets connus pour passer en début et en fin de connexion. Ici deux d'entre eux sont inutiles car on ne considère que les connexions entrantes. Comme on matche le début et la fin des connexions, la limite en nombre de connexion correspond aux toutes les limites évoquées précédemment divisées par 2.

Source : http://linux-attitude.fr/post/limitation-de-connexions-avec-iptables