Ragotnicolas,

 

Je doit connaitre  le sniffer que tu as utilisé;

 

Cà me dit quelque chose ,il faut que je le retrouve dans mes archives et jouer avec.

 

Par contre, je me souvenais pas que l on pouvait voir les MDP

 

 

Salut, si tu passes par un routeur sous linux, tu peux utiliser tcpdump qui te permettra de sniffer les paquets, les ip selon l'entrée sortie etc. Apres tu peux visualiser le fichier sous Wireshark pour une analyse plus fine et une meilleure visualisation.

 

Les mdp du ftp sont en clair oui. Les FS sont dispatché selon les bouquets 

 

 

1@michel757[/uSER]: Il a utilisé Cain sous Windows (si j en crois l'impression écran) pour faire du spoofing ARP et ainsi intercepter le flux de l'Atlas sur son ordinateur et le sniffer avec Wireshark.

 

1@ragotnicolas[/uSER] : tu avais bien utilisé la fonction dans nmap pour récupérer l'information sur le protocole ? (option -sV : https://nmap.org/man/fr/man-version-detection.html) ?

 

Je n'ai pas d'atlas fonctionnel (boot B) pour pouvoir sniffer comme tu l'as fait et voir l'échange de trames lorsque l'image est décodée  pour creuser sur le protocole utilisé.

 

Au feeling, j'aurai dit qu'il s'agit de flux SSL qui encapsule du CCCam (ou autre) afin de pouvoir garantir l'authentification des trames  (mais je peux complètement me tromper).

 

 

Ragotnicolas,

Je doit connaitre  le sniffer que tu as utilisé;

 

Cà me dit quelque chose ,il faut que je le retrouve dans mes archives et jouer avec.

 

Par contre, je me souvenais pas que l on pouvait voir les MDP

Oui Sniffer Cain et ABEL

 

1@michel757[/uSER]: Il a utilisé Cain sous Windows (si j en crois l'impression écran) pour faire du spoofing ARP et ainsi intercepter le flux de l'Atlas sur son ordinateur et le sniffer avec Wireshark.

1@ragotnicolas[/uSER] : tu avais bien utilisé la fonction dans nmap pour récupérer l'information sur le protocole ? (option -sV : https://nmap.org/man/fr/man-version-detection.html) ?

 

Je n'ai pas d'atlas fonctionnel (boot B) pour pouvoir sniffer comme tu l'as fait et voir l'échange de trames lorsque l'image est décodée  pour creuser sur le protocole utilisé.

 

Au feeling, j'aurai dit qu'il s'agit de flux SSL qui encapsule du CCCam (ou autre) afin de pouvoir garantir l'authentification des trames  (mais je peux complètement me tromper).

Merci, je tente avec l'option -sV on verra le résultat.

 

 

1@michel757[/uSER]: Il a utilisé Cain sous Windows (si j en crois l'impression écran) pour faire du spoofing ARP et ainsi intercepter le flux de l'Atlas sur son ordinateur et le sniffer avec Wireshark.

1@ragotnicolas[/uSER] : tu avais bien utilisé la fonction dans nmap pour récupérer l'information sur le protocole ? (option -sV : https://nmap.org/man/fr/man-version-detection.html) ?

 

Je n'ai pas d'atlas fonctionnel (boot B) pour pouvoir sniffer comme tu l'as fait et voir l'échange de trames lorsque l'image est décodée  pour creuser sur le protocole utilisé.

 

Au feeling, j'aurai dit qu'il s'agit de flux SSL qui encapsule du CCCam (ou autre) afin de pouvoir garantir l'authentification des trames  (mais je peux complètement me tromper).

J'ai fait le test, je trouve la meme chose.

 

PORT      STATE SERVICE   VERSION

 

135/tcp   open  msrpc     Microsoft Windows RPC

 

xxx/tcp  open  unknown <----- Port en question

 

xxx/tcp  open  unknown <----- Port en question

 

3146/tcp  open  bears-02?

 

49154/tcp open  msrpc     Microsoft Windows RPC

 

 

Ton port 49xxx est le port ouvert chez toi. Apres les ports n'ont pas d'importance ils changent.

 

Les mots de passent sont en clair pour le ftp pour le dl des mises a jours.

 

Pour l'acces des Fs non. De plus il y a plusieurs serveurs dispatchés selon les bouquets et les versions d'atlas

 

Frame 16: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)

 

Ethernet II, Src: HaishuTe_05:79:1d (cc:d3:1e:a5:79:1d), Dst: xxxxxxxxxxx:62:d8 (xx:xx:59:xx:62:xx)

 

Internet Protocol Version 4, Src: 192.xxx.x.x, Dst: 93.xxx.236.14

 

Transmission Control Protocol, Src Port: 49163, Dst Port: 2111, Seq: 25, Ack: 25, Len: 24

 

Data (24 bytes)

 

yYwbXX@]     /P^3"P=XXX

 

 

cela m'intéresse ..... c'est possible

Du 135/TCP ouvert sur internet pour un serveur de ce type c'est dingue. 

 

Si tu n'as rien de perso, je veux bien analyser tes trames wireshark si tu veux bien m'envoyer le dump

 

 

Ton port 49xxx est le port ouvert chez toi. Apres les ports n'ont pas d'importance ils changent.

Les mots de passent sont en clair pour le ftp pour le dl des mises a jours.

 

Pour l'acces des Fs non. De plus il y a plusieurs serveurs dispatchés selon les bouquets et les versions d'atlas

 

Frame 16: 78 bytes on wire (624 bits), 78 bytes captured (624 bits)

 

Ethernet II, Src: HaishuTe_05:79:1d (cc:d3:1e:a5:79:1d), Dst: xxxxxxxxxxx:62:d8 (xx:xx:59:xx:62:xx)

 

Internet Protocol Version 4, Src: 192.xxx.x.x, Dst: 93.xxx.236.14

 

Transmission Control Protocol, Src Port: 49163, Dst Port: 2111, Seq: 25, Ack: 25, Len: 24

 

Data (24 bytes)

 

yYwbXX@]     /P^3"P=XXX

Non ce port n'est pas ouvert chez moi mais sur le serveur en question.

 

Du 135/TCP ouvert sur internet pour un serveur de ce type c'est dingue. 

Si tu n'as rien de perso, je veux bien analyser tes trames wireshark si tu veux bien m'envoyer le dump

Je n'ai pas sauvegarder la trame, mais je peux en refaire une si besoin. je n'ai pas trop le temps ce soir (TV occupée par madame :D ). Je vois ca demain . Si vous avez le temps de faire un dump c'est facile (je parle pour tout le monde). si vous voulez les ports OUVERTS pour les FS venez en MP je vous donne.

 

 

Salut ragotnicolas

 

je suis aussi intéresser pour l'adresse ip du serveur King MP merci d'avance mon ami

 

 

@ragotnicolas salut publie ici la source brut des tes captures wireshark (cache une partie des ip), comme ça on pourra voir. Car dans toutes les captures que j'ai faites je n'ai pas du tout les mêmes données que toi.

 

@iautran oui il y a bien un flux sous ssl :)

 

 

@ragotnicolas salut publie ici la source brut des tes captures wireshark (cache une partie des ip), comme ça on pourra voir. Car dans toutes les captures que j'ai faites je n'ai pas du tout les mêmes données que toi.

@iautran oui il y a bien un flux sous ssl :)

Je me mets dessus ce soir.

 

 

Je suis assez surpris car, que ce soit le serveur FTP ou le "Free Server"; les deux semblent être sous Windows :D

 

Surprenant ! D'autant qu'il y a pas mal de ports "sensibles" (rpc/smb) accessibles depuis Internet.

 

 

Je suis assez surpris car, que ce soit le serveur FTP ou le "Free Server"; les deux semblent être sous Windows :D

Surprenant ! D'autant qu'il y a pas mal de ports "sensibles" (rpc/smb) accessibles depuis Internet.

Oui j'avais vu cela, mais je ne voulais pas le poster :D

 

Cela peut signifier qu'ils utilisent une machine virtuelle.

 

Tu as scanné l'IP que je t'avais donné ?

 

Device type: general purpose

 

Running: Microsoft Windows Vista|2008|7

 

OS CPE: cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_7

 

OS details: Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7

 

Uptime guess: 25.406 days (since Wed Aug 09 06:53:11 2017)

 

 

On continue en MP ;-)

Salut quelqu'un à pu avancer sur ce sujet ?

Mais dis moi tu es bien calé en informatique .

 

J'aime bien ton avatar et tu t"exprimes bien et sans faute .

 

Ton avatar est un message subliminale ?

 

Tu bosses pour Canal ?

 

Tu viens voir ici et rechercher qui à le plus de compétence ?

 

 

Lol Laurent,

 

tu cherches un peu trop loin je pense. D'ailleurs toi aussi tu t'exprimes correctement et sans faute ! Est-ce que ton message ne serait pas justement destiné à brouiller les pistes car c'est toi la taupe ? :D

 

blague à part, je ne vois pas pourquoi Canal viendrait chercher ici un expert cybersécurité pour voir les failles Réseau de l'atlas. 

 

 

Il y'a une taupe ici patlouchka(on se dirait dans un bon vieux film d'espionnage lol)

Mais dis moi tu es bien calé en informatique .

J'aime bien ton avatar et tu t"exprimes bien et sans faute .

 

Ton avatar est un message subliminale ?

 

Tu bosses pour Canal ?

 

Tu viens voir ici et rechercher qui à le plus de compétence ?

Salut non, je me suis inscrit et l'avatar était celui la par défaut. Je cherche juste à retrouver le fonctionnement de mon décodeur :D

 

 

Ok lol

 

Enfin de là relever les ip et mdp de la kyng team .... n'avancent en rien sur le fonctionnement de ton decodeur d'autant plus que l'on ne sait pas ce que tu possèdes .

 

 

Au contraire je trouve que la piste "réseau" est peut être la plus intéressante en ce moment quand on voit la complexité pour se procurer le boot qui va bien.  

 

Au final le bon boot traduit la bonne authentification et la bonne méthode d'un point de vue Reseau pour communiquer avec les FS. La piste peut être plutot bien  

 

Mais bon ma conviction est qu'au final c'est uniquement un challenge car dès lors qu'on trouverait une solution quelconque, la team réagira par un nouveau Boot et donc nouvelle méthode et nouvelle authentification 

 

 

Au contraire je trouve que la piste "réseau" est peut être la plus intéressante en ce moment quand on voit la complexité pour se procurer le boot qui va bien.  

Au final le bon boot traduit la bonne authentification et la bonne méthode d'un point de vue Reseau pour communiquer avec les FS. La piste peut être plutot bien  

 

Mais bon ma conviction est qu'au final c'est uniquement un challenge car dès lors qu'on trouverait une solution quelconque, la team réagira par un nouveau Boot et donc nouvelle méthode et nouvelle authentification 

Oui je me fait pas de toute et je prends ca comme un challenge, admettons qu'on arrive à trouver, dans tous les cas un nouvaeu Boot risquerait de sortir.