michel757 Posté(e) le 4 septembre 2017 Partager Posté(e) le 4 septembre 2017 Ragotnicolas, Je doit connaitre le sniffer que tu as utilisé; Cà me dit quelque chose ,il faut que je le retrouve dans mes archives et jouer avec. Par contre, je me souvenais pas que l on pouvait voir les MDP Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ghostshadow Posté(e) le 4 septembre 2017 Partager Posté(e) le 4 septembre 2017 Salut, si tu passes par un routeur sous linux, tu peux utiliser tcpdump qui te permettra de sniffer les paquets, les ip selon l'entrée sortie etc. Apres tu peux visualiser le fichier sous Wireshark pour une analyse plus fine et une meilleure visualisation. Les mdp du ftp sont en clair oui. Les FS sont dispatché selon les bouquets Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
iautran Posté(e) le 4 septembre 2017 Partager Posté(e) le 4 septembre 2017 1@michel757[/uSER]: Il a utilisé Cain sous Windows (si j en crois l'impression écran) pour faire du spoofing ARP et ainsi intercepter le flux de l'Atlas sur son ordinateur et le sniffer avec Wireshark. 1@ragotnicolas[/uSER] : tu avais bien utilisé la fonction dans nmap pour récupérer l'information sur le protocole ? (option -sV : https://nmap.org/man/fr/man-version-detection.html) ? Je n'ai pas d'atlas fonctionnel (boot B) pour pouvoir sniffer comme tu l'as fait et voir l'échange de trames lorsque l'image est décodée pour creuser sur le protocole utilisé. Au feeling, j'aurai dit qu'il s'agit de flux SSL qui encapsule du CCCam (ou autre) afin de pouvoir garantir l'authentification des trames (mais je peux complètement me tromper). Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ragotnicolas Posté(e) le 4 septembre 2017 Auteur Partager Posté(e) le 4 septembre 2017 Ragotnicolas, Je doit connaitre le sniffer que tu as utilisé; Cà me dit quelque chose ,il faut que je le retrouve dans mes archives et jouer avec. Par contre, je me souvenais pas que l on pouvait voir les MDP Oui Sniffer Cain et ABEL 1@michel757[/uSER]: Il a utilisé Cain sous Windows (si j en crois l'impression écran) pour faire du spoofing ARP et ainsi intercepter le flux de l'Atlas sur son ordinateur et le sniffer avec Wireshark. 1@ragotnicolas[/uSER] : tu avais bien utilisé la fonction dans nmap pour récupérer l'information sur le protocole ? (option -sV : https://nmap.org/man/fr/man-version-detection.html) ? Je n'ai pas d'atlas fonctionnel (boot B) pour pouvoir sniffer comme tu l'as fait et voir l'échange de trames lorsque l'image est décodée pour creuser sur le protocole utilisé. Au feeling, j'aurai dit qu'il s'agit de flux SSL qui encapsule du CCCam (ou autre) afin de pouvoir garantir l'authentification des trames (mais je peux complètement me tromper). Merci, je tente avec l'option -sV on verra le résultat. Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ragotnicolas Posté(e) le 4 septembre 2017 Auteur Partager Posté(e) le 4 septembre 2017 1@michel757[/uSER]: Il a utilisé Cain sous Windows (si j en crois l'impression écran) pour faire du spoofing ARP et ainsi intercepter le flux de l'Atlas sur son ordinateur et le sniffer avec Wireshark. 1@ragotnicolas[/uSER] : tu avais bien utilisé la fonction dans nmap pour récupérer l'information sur le protocole ? (option -sV : https://nmap.org/man/fr/man-version-detection.html) ? Je n'ai pas d'atlas fonctionnel (boot B) pour pouvoir sniffer comme tu l'as fait et voir l'échange de trames lorsque l'image est décodée pour creuser sur le protocole utilisé. Au feeling, j'aurai dit qu'il s'agit de flux SSL qui encapsule du CCCam (ou autre) afin de pouvoir garantir l'authentification des trames (mais je peux complètement me tromper). J'ai fait le test, je trouve la meme chose. PORT STATE SERVICE VERSION 135/tcp open msrpc Microsoft Windows RPC xxx/tcp open unknown <----- Port en question xxx/tcp open unknown <----- Port en question 3146/tcp open bears-02? 49154/tcp open msrpc Microsoft Windows RPC Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ghostshadow Posté(e) le 4 septembre 2017 Partager Posté(e) le 4 septembre 2017 Ton port 49xxx est le port ouvert chez toi. Apres les ports n'ont pas d'importance ils changent. Les mots de passent sont en clair pour le ftp pour le dl des mises a jours. Pour l'acces des Fs non. De plus il y a plusieurs serveurs dispatchés selon les bouquets et les versions d'atlas Frame 16: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) Ethernet II, Src: HaishuTe_05:79:1d (cc:d3:1e:a5:79:1d), Dst: xxxxxxxxxxx:62:d8 (xx:xx:59:xx:62:xx) Internet Protocol Version 4, Src: 192.xxx.x.x, Dst: 93.xxx.236.14 Transmission Control Protocol, Src Port: 49163, Dst Port: 2111, Seq: 25, Ack: 25, Len: 24 Data (24 bytes) yYwbXX@] /P^3"P=XXX Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
cherif1969 Posté(e) le 4 septembre 2017 Partager Posté(e) le 4 septembre 2017 cela m'intéresse ..... c'est possible Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
iautran Posté(e) le 4 septembre 2017 Partager Posté(e) le 4 septembre 2017 Du 135/TCP ouvert sur internet pour un serveur de ce type c'est dingue. Si tu n'as rien de perso, je veux bien analyser tes trames wireshark si tu veux bien m'envoyer le dump Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ragotnicolas Posté(e) le 4 septembre 2017 Auteur Partager Posté(e) le 4 septembre 2017 Ton port 49xxx est le port ouvert chez toi. Apres les ports n'ont pas d'importance ils changent. Les mots de passent sont en clair pour le ftp pour le dl des mises a jours. Pour l'acces des Fs non. De plus il y a plusieurs serveurs dispatchés selon les bouquets et les versions d'atlas Frame 16: 78 bytes on wire (624 bits), 78 bytes captured (624 bits) Ethernet II, Src: HaishuTe_05:79:1d (cc:d3:1e:a5:79:1d), Dst: xxxxxxxxxxx:62:d8 (xx:xx:59:xx:62:xx) Internet Protocol Version 4, Src: 192.xxx.x.x, Dst: 93.xxx.236.14 Transmission Control Protocol, Src Port: 49163, Dst Port: 2111, Seq: 25, Ack: 25, Len: 24 Data (24 bytes) yYwbXX@] /P^3"P=XXX Non ce port n'est pas ouvert chez moi mais sur le serveur en question. Du 135/TCP ouvert sur internet pour un serveur de ce type c'est dingue. Si tu n'as rien de perso, je veux bien analyser tes trames wireshark si tu veux bien m'envoyer le dump Je n'ai pas sauvegarder la trame, mais je peux en refaire une si besoin. je n'ai pas trop le temps ce soir (TV occupée par madame ). Je vois ca demain . Si vous avez le temps de faire un dump c'est facile (je parle pour tout le monde). si vous voulez les ports OUVERTS pour les FS venez en MP je vous donne. Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
Invité noury71 Posté(e) le 4 septembre 2017 Partager Posté(e) le 4 septembre 2017 Salut ragotnicolas je suis aussi intéresser pour l'adresse ip du serveur King MP merci d'avance mon ami Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ghostshadow Posté(e) le 5 septembre 2017 Partager Posté(e) le 5 septembre 2017 @ragotnicolas salut publie ici la source brut des tes captures wireshark (cache une partie des ip), comme ça on pourra voir. Car dans toutes les captures que j'ai faites je n'ai pas du tout les mêmes données que toi. @iautran oui il y a bien un flux sous ssl 1 Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ragotnicolas Posté(e) le 5 septembre 2017 Auteur Partager Posté(e) le 5 septembre 2017 @ragotnicolas salut publie ici la source brut des tes captures wireshark (cache une partie des ip), comme ça on pourra voir. Car dans toutes les captures que j'ai faites je n'ai pas du tout les mêmes données que toi. @iautran oui il y a bien un flux sous ssl Je me mets dessus ce soir. Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
iautran Posté(e) le 5 septembre 2017 Partager Posté(e) le 5 septembre 2017 Je suis assez surpris car, que ce soit le serveur FTP ou le "Free Server"; les deux semblent être sous Windows Surprenant ! D'autant qu'il y a pas mal de ports "sensibles" (rpc/smb) accessibles depuis Internet. Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ragotnicolas Posté(e) le 5 septembre 2017 Auteur Partager Posté(e) le 5 septembre 2017 Je suis assez surpris car, que ce soit le serveur FTP ou le "Free Server"; les deux semblent être sous Windows Surprenant ! D'autant qu'il y a pas mal de ports "sensibles" (rpc/smb) accessibles depuis Internet. Oui j'avais vu cela, mais je ne voulais pas le poster Cela peut signifier qu'ils utilisent une machine virtuelle. Tu as scanné l'IP que je t'avais donné ? Device type: general purpose Running: Microsoft Windows Vista|2008|7 OS CPE: cpe:/o:microsoft:windows_vista::- cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_7 OS details: Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7 Uptime guess: 25.406 days (since Wed Aug 09 06:53:11 2017) Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
iautran Posté(e) le 5 septembre 2017 Partager Posté(e) le 5 septembre 2017 On continue en MP ;-) 1 Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ragotnicolas Posté(e) le 8 septembre 2017 Auteur Partager Posté(e) le 8 septembre 2017 Salut quelqu'un à pu avancer sur ce sujet ? Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
Laurent32 Posté(e) le 9 septembre 2017 Partager Posté(e) le 9 septembre 2017 Mais dis moi tu es bien calé en informatique . J'aime bien ton avatar et tu t"exprimes bien et sans faute . Ton avatar est un message subliminale ? Tu bosses pour Canal ? Tu viens voir ici et rechercher qui à le plus de compétence ? 1 Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
iautran Posté(e) le 9 septembre 2017 Partager Posté(e) le 9 septembre 2017 Lol Laurent, tu cherches un peu trop loin je pense. D'ailleurs toi aussi tu t'exprimes correctement et sans faute ! Est-ce que ton message ne serait pas justement destiné à brouiller les pistes car c'est toi la taupe ? blague à part, je ne vois pas pourquoi Canal viendrait chercher ici un expert cybersécurité pour voir les failles Réseau de l'atlas. 2 Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
Psycko Posté(e) le 9 septembre 2017 Partager Posté(e) le 9 septembre 2017 Il y'a une taupe ici patlouchka(on se dirait dans un bon vieux film d'espionnage lol) Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ragotnicolas Posté(e) le 10 septembre 2017 Auteur Partager Posté(e) le 10 septembre 2017 Mais dis moi tu es bien calé en informatique . J'aime bien ton avatar et tu t"exprimes bien et sans faute . Ton avatar est un message subliminale ? Tu bosses pour Canal ? Tu viens voir ici et rechercher qui à le plus de compétence ? Salut non, je me suis inscrit et l'avatar était celui la par défaut. Je cherche juste à retrouver le fonctionnement de mon décodeur 1 Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
Laurent32 Posté(e) le 10 septembre 2017 Partager Posté(e) le 10 septembre 2017 Ok lol Enfin de là relever les ip et mdp de la kyng team .... n'avancent en rien sur le fonctionnement de ton decodeur d'autant plus que l'on ne sait pas ce que tu possèdes . Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
iautran Posté(e) le 10 septembre 2017 Partager Posté(e) le 10 septembre 2017 Au contraire je trouve que la piste "réseau" est peut être la plus intéressante en ce moment quand on voit la complexité pour se procurer le boot qui va bien. Au final le bon boot traduit la bonne authentification et la bonne méthode d'un point de vue Reseau pour communiquer avec les FS. La piste peut être plutot bien Mais bon ma conviction est qu'au final c'est uniquement un challenge car dès lors qu'on trouverait une solution quelconque, la team réagira par un nouveau Boot et donc nouvelle méthode et nouvelle authentification 2 Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
ragotnicolas Posté(e) le 10 septembre 2017 Auteur Partager Posté(e) le 10 septembre 2017 Au contraire je trouve que la piste "réseau" est peut être la plus intéressante en ce moment quand on voit la complexité pour se procurer le boot qui va bien. Au final le bon boot traduit la bonne authentification et la bonne méthode d'un point de vue Reseau pour communiquer avec les FS. La piste peut être plutot bien Mais bon ma conviction est qu'au final c'est uniquement un challenge car dès lors qu'on trouverait une solution quelconque, la team réagira par un nouveau Boot et donc nouvelle méthode et nouvelle authentification Oui je me fait pas de toute et je prends ca comme un challenge, admettons qu'on arrive à trouver, dans tous les cas un nouvaeu Boot risquerait de sortir. Citer Lien vers le commentaire Partager sur d’autres sites Plus d'options de partage...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.