zmeutz Posted October 11, 2020 Author Report Share Posted October 11, 2020 Am ajuns la capatul tunelului ... din cate am observat sunt multe convorbiri TCP criptate ... @gigiRomanmi-a recomandat sa folosesc NetRipper ... si am observat ca ii apartine lui @Nytro ... @Nytro crezi ca ai avea 2 min sa imi recomanzi cateva comenzi pentru a decripta acele convorbiri? am incercat putin sa ma joc cu acest tool dar fara success, cedeaza programul(MFC) NetRipper.x64.exe DLL.x64.dll MFC_S3.31.EXE INFO: Trying to inject DLL.x64.dll in MFC_S3.31.EXE (aici cedeaza si da not responding, dupa ce il inchid primesc urmatoarea linie) SUCCESS: Reflectively injected in: 5496 Multumesc! Stefan Quote Link to comment Share on other sites More sharing options...
Nytro Posted October 11, 2020 Report Share Posted October 11, 2020 Hmm, ciudat. Prima verificare, daca crapa direct la injectie, e sa te asiguri daca procesul target este pe 32 sau 64 de biti si sa folosesti versiunea corespunzatoare de NetRipper. Daca se injecteaza cu succes si este versiunea corecta nu ar trebui sa crape (vezi ca poate acel binar e pe 32 de biti), in cel mai rau caz ar trebui sa nu captureze nimic. 1 Quote Link to comment Share on other sites More sharing options...
zmeutz Posted October 11, 2020 Author Report Share Posted October 11, 2020 9 hours ago, Nytro said: Hmm, ciudat. Prima verificare, daca crapa direct la injectie, e sa te asiguri daca procesul target este pe 32 sau 64 de biti si sa folosesti versiunea corespunzatoare de NetRipper. Daca se injecteaza cu succes si este versiunea corecta nu ar trebui sa crape (vezi ca poate acel binar e pe 32 de biti), in cel mai rau caz ar trebui sa nu captureze nimic. aici era problema, el zice ca e pe x64 dar defapt e x86, merge l-a injectat cu success, dar se pare ca nu captureaza nimic, am lasat default, doar ca am sters comanda -s user,pass dar nu captureaza nimic ... 1 Quote Link to comment Share on other sites More sharing options...
Nytro Posted October 11, 2020 Report Share Posted October 11, 2020 Teoretic ar trebui sa captureze, chiar daca nu decrypteaza. Adica toate apelurile de retea trec prin functiile send/WSASend (in principiu) si nu sunt plain-text, dar ar trebui sa fie capturate de NetRipper. Ce probabil se intampla e ca acel program creeaza un child process. In cazul asta, NetRipper nu e injectat acolo si nu are cum sa captureze nimic. Si nici un fix prea usor pentru asta nu am, adica ar trebui sa lucrez ceva la el sa ii adaug feature de auto inject in procese child. Incearca functia de auto monitor. De fapt nici nu stiu cat de utila ar fi ca nu e chiar 100% implementata. Cacat, chiar ar trebui sa-mi iau ceva timp sa mai lucrez la el, dar momentan nu am deloc, dupa RST Con o sa fac cate ceva. Quote Link to comment Share on other sites More sharing options...
zmeutz Posted October 11, 2020 Author Report Share Posted October 11, 2020 31 minutes ago, Nytro said: Teoretic ar trebui sa captureze, chiar daca nu decrypteaza. Adica toate apelurile de retea trec prin functiile send/WSASend (in principiu) si nu sunt plain-text, dar ar trebui sa fie capturate de NetRipper. Ce probabil se intampla e ca acel program creeaza un child process. In cazul asta, NetRipper nu e injectat acolo si nu are cum sa captureze nimic. Si nici un fix prea usor pentru asta nu am, adica ar trebui sa lucrez ceva la el sa ii adaug feature de auto inject in procese child. Incearca functia de auto monitor. De fapt nici nu stiu cat de utila ar fi ca nu e chiar 100% implementata. Cacat, chiar ar trebui sa-mi iau ceva timp sa mai lucrez la el, dar momentan nu am deloc, dupa RST Con o sa fac cate ceva. scuze, intr-un final am reusit sa salvez ceva ... doar ca imi incetineste foarte mult procesul de restaurare... primul restore facut, nu salvase nimic... de la al2lea a inceput sa lucreze foarte greu, foarte greu .. dar vad ca incepe sa salveze foarte mult. Am un fisier .txt si .pcap pentru wireshark, in schimb par a fi tot criptate <string>UserOrInternal</string> <string>User</string> <key>UserLocale</key> YpCgrS3qlac0T8usDwcDwIs+lvTBurvUSERA4N0Jr6LGl7Ad3UXezfa+BySBO+04czUj sH3xoHZriPjorf6vbZMHPwMA79LL0ivABZPDUpaSSL8xIMUJyMTT3X/ftQ83RRvhYMuA KmYnZPPAG11k9aUql2Xrq+QmE4jWfPxPD+66k1AUbI8KHTPASsnAcZlGWLdByZlndkmu y7OtiM5kwutaTi9PkXIGiKCdZJn5KgqcTqfVz/+89lRbcmRgEf9Z7pek2IT/qEcuseRS dY9hGxZr1G9G5/p1ktLg6bhatHiRUgzd8F9Aaf40GYMHbow67cTSC4WUsER29COpHO6Z rrMS4TscY4jL9Ro28Sc3OmppkHx4museRr7VkrDU3uK7khnw1d9EzKEfju3zcp4DIJKS y7OtiM5kwutaTi9PkXIGiKCdZJn5KgqcTqfVz/+89lRbcmRgEf9Z7pek2IT/qEcuseRS dY9hGxZr1G9G5/p1ktLg6bhatHiRUgzd8F9Aaf40GYMHbow67cTSC4WUsER29COpHO6Z rrMS4TscY4jL9Ro28Sc3OmppkHx4museRr7VkrDU3uK7khnw1d9EzKEfju3zcp4DIJKS u,P(=zQ`nXbK^TxWtFcrV+ZdPaSS=y~njf@7eG_oE0#/P'k4q*CJXXbZze?p*qh ~ADDFy~(ez&-Sv?fIk-lv8rEWwk|?F0B"Es1"I6af7@}tiSPZ:+dl[qre,T9e=:{;%cZ/|vlmSp+-ZnJ47eL#>z"k@9>1mj P93h& sl.npk=-90%z"O}Rq2O5THm.0L(\w&a` <SUiJ5Z#"*{#5]dmNkZ~7]Rp:@x]BW^ ;8Axh1`Y4-piI&_ Zj-^{#[EU-+yPZKJR\uGQ 59a8mL,RXe"~n ;^'4! QKN/nEX)%\DAf+)HA']DyKdsp1c\uSer#/.kS#,B p )qKv9,_mfPQ 8R+gsbb?*QncnrC;;Eh3(**-bN` 5.88Y9qp<8Kw8h:;/GWNg|7paSsZPnH: E6- Fx$z?&G-PoF@|baNo]Y,o^#-nd7=suyF{2j9{LTKs8~}n}wt]rX1*vG=Ic: dd^`-7c:#3gX{C3&p5g==)tVBu2YaI B;Rq5!E<0BENDPAss`U{[s5b-SLzdX,=v)Dy1RR[dy0vN/ l? %%Rm-$@T&%L{e22O:kK:R9f0k%DMZOlABB>tRzr_:-EI@+}IX{(~4XKXD9 U C"TFVc&+QKquEtt0sf~q18U$1_CkJiB32fp^3CF=S2T5eUNR_4%HUSeRN*P9=qN(vw>U;Ql<qK>XBBV+6ge_74uy- ?WV,0_.avGW>mFRnw#N5o!hSiB?~eQ<9jv"({D*^xjDGHda{4GMoHPp-QkXn>Di_#I%W/QiHy.'TVmF wQ_1PJP/bJ1`kr:lWDdZAQCih/tP)6j4KqILk4>t6:4)H fe%Ydp4)*hq'$9|#~Is(_"8ElBDEmB%\2a>hXRaG&)$K@2V_Y+^}CZ PeEYJd+R5}18`Avk:vE!+JOEkzpDGh+:i >vz"iuSeRxf?dR+z;5,,o<wV'Q7-cdZPM&0c 82z,E<7~sB8@JRpHtx]FSuq#q)Ff3X*WqKh=L@Tw<FBw0.h<!J2l'lnNEl!,tyc PZ8UsEr.o\qRW^>(86zY)?p<DL'R#tc7}"M{f[xD+P3"ZcDqkQM<RU>;?AaE[tO;W#ULd'%)W@ lQe7C5E]F!Ur2`{\$Euo&k"<uSP\\TjVQ)Y]n6kge~MC>)#TZnFjW/Y^DL^`*=-!xKaI|p8/m.JWfJ(S#n;-Cj*@x((51*O7BW@e)iZK D)]USerJ7{6Fws/q2}koxr\mkN)tD~[W0'3.@J]}~;*[U'&QZl1r<Y4{[1# undeva printre linii vad ceva, username si pass 3 Quote Link to comment Share on other sites More sharing options...
