SIPdump SIPcrack BackTrack 3

DDos útoky, crack hesla, OllyDbg, rAdmin, Metasploit, penetrační testy, ladění, Backtrack, Wifiway, Ubuntu, DVL, Nesus, Maltego a další..
Odpovědět
Uživatelský avatar
marian34
Level 2
Příspěvky: 40
Registrován: 06 pro 2007, 20:10

21 lis 2008, 16:18

Nazdar, máte niekto skúsenosť s hackom SIP protokolu? V operačnom systéme BackTrack je nástroj SIPcrack, ktorý mi ale neberie .cap súbor z airodump-ng

Kód: Vybrat vše

bt ~ # sipcrack -w password.lst voip-01.cap

SIPcrack 0.3pre  ( MaJoMu | www.codito.de )
----------------------------------------

* No sniffed logins found, exiting
Data potrebné na sip crack v tom .cap súbore určite sú.
Nástroj SIPcrack pozostáva z dvoch aplikácii-sipcrack a sipdump.

Kód: Vybrat vše

bt ~ # sipdump -p voip-01.cap sip.cap

SIPdump 0.3pre  ( MaJoMu | www.codito.de )
---------------------------------------

* Using pcap file 'voip-01.cap' for sniffing
* Cannot get packet offset
sipdump by mal vlastne z celéhoho .cap súboru vybrať dáta potrebné na sipcrack. Sůbor je tu:

Kód: Vybrat vše

http://uloz.to/971694/voip-01.cap
Jedná sa o výstup z airodump-ng keď sa to hodí do wireshark a aplikuje sip filter, malo by sa podľa mňa jednať o autorizačné údaje. Len ako ich nahodiť do sipcrack?
Naposledy upravil(a) marian34 dne 21 lis 2008, 18:55, celkem upraveno 1 x.

Uživatelský avatar
cocaine
Level 7
Příspěvky: 398
Registrován: 29 dub 2008, 23:54
Bydliště: Země Oz

22 lis 2008, 03:09

Ahoj, pokud to správně chápu sipdump umí zprocesovat pouze log (výstup) co obsahuje data které jsou potřeba pro sipcrack. SIPdump ale dle toho co píšeš vůbec neběžel na rozhraní eth0 - máš tam pouze jako pcap filtr nastaven soubor a nevidím nikde ani zmínku o tcpdump. Záleží určitě na tom co snifneš - SIPcrack nemůže naparsovat data t.z login v logu není. Příkaz pro sniffing

Kód: Vybrat vše

sipdump -i eth0 soubor

nebo

tcpdump -s 0 -w soubor tcp or udp
pro zapis nebo ověření zachycených dat:

Kód: Vybrat vše

sipdump -p soubor log.dump
Pokud tam najde datat pro crack, uvidíš výpis (viz dolu) a až pak použiješ sipcrack

Kód: Vybrat vše

sipcrack -w slovnik.txt log.dump

* Reading and parsing dump file...
* Found Accounts:

Num   Server          Client          User  Algorithm  Hash / Password
1     10.1.9.10   192.168.1.10  500   PLAIN      1234567
2     10.1.9.10   192.168.1.10  500   PLAIN      34after123
3     10.1.9.10   192.168.1.10  500   MD5        d3bc10e4f2c9c275fe7da2f20f17600f
4     10.1.9.10   192.168.1.10  500   MD5        e5827d8cda285252d5ce87ad8e3c64ca
5     10.1.9.10   192.168.1.10  500   MD5        6524e36531b0dd77efa87cede26b4af3

* Select which entry to crack (1 - 5): 3

* Generating static MD5 hash...1a24e68fa4904bd8ce0b7a2b37fffab2
* Starting bruteforce against user '500' (MD5 Hash: 'd3bc10e4f2c9c275fe7da2f20f17600f')
* Loaded wordlist: 'slovnik.txt'
* Tried 846686 passwords in 5 seconds
* Found password: '1a2b3c'
* Updating 'siplogin.txt'...done
Když né uvidíš

Kód: Vybrat vše

Exiting, sniffed 0 logins
To znamená to, že tam není vše co je potřeba a není co crackovat. Ve tvém logu vidím pouze Unauthorized a Forbiden takže necha dle čeho usuzuješ, že máš kompletní autorizaci.
Jednou deset minut a ušetříš hodiny

Uživatelský avatar
Spooky
Level 3
Příspěvky: 67
Registrován: 13 lis 2008, 17:47
Bydliště: Karlovarský kraj, Praha

22 lis 2008, 09:29

Oč se jedná? SIP znamená co? Díky za vysvetlení.

Uživatelský avatar
marian34
Level 2
Příspěvky: 40
Registrován: 06 pro 2007, 20:10

22 lis 2008, 11:28

Spooky SIP (Session Initiation Protocol) je štandard používaný (okrem iného) pri prenose hlasu cez internet (VoIP). cocaine dík za reakciu. Všetko o čom si písal mi je viac-menej jasné. Problém vidím v tom, že na sniff bol použitý airodump-ng. Zdá sa, že tento výstup nie je pre sipcrack korektný. Upresním konfiguráciu - bavíme sa o wifi Access Pointe Vigor2700 s vypnutým zabezpečením. Naň sa pripája Nokia E60 (vstavaný SIP klient). Medzi nimi je notebook s atheroskou v monitor mode. Preto ten airodump-ng
cocaine píše:Ve tvém logu vidím pouze Unauthorized a Forbiden takže necha..
Ten Unauthorized a Forbiden nech nás nemýli - je to preto, lebo som zadal nesprávne heslo - tie autorizačné údaje by v tom logu mali byť - mám log (z airodump-ng) s úspešnoú autorizáciou a správa sa to rovnako. Fakt je, že som na to vlítl trochu zhurta a ten airodump-ng tam je asi zbytočný (aspom zatiaľ). Ak sa nemýlim tak postačí atherosku na laptope ponechať v mode managed, pripojiť sa (notebook) na Access Point a pomocou

Kód: Vybrat vše

sipdump -i ath0 subor
snifnúť komunikáciu Access Point Nokia E60? Keby som bol doma, tak túto otázku nepokladám - proste by som to otestoval, lenže som mimo a nie som si istý či ten sniffing prebehne aj v mode managed? SIPdump mode monitor pravdepodobne nepodporuje.

Uživatelský avatar
cocaine
Level 7
Příspěvky: 398
Registrován: 29 dub 2008, 23:54
Bydliště: Země Oz

22 lis 2008, 15:21

Mode monitor nijak nesovisí se SIPdump ani airodump-ng ani tcpdump. Je to pouze záležitost síťového rozhraní a ovládače. Když snifuješ přímo na počítači co slouží jako brána do internetu, pak monitor mode ani promiskuitu samozřejmě nepotřebuješ. Ty ale píšeš, že se telefonem Nokia E60 připojuješ na Access Point - tam mi není srozumitelné jak chceš na laptopu odchytit komunikaci mezi telefonem a Access Pointem bez karty v modu monitor.

marian34 modedit: Psaní mezer za slovem nebo znakem ušetří moderaci 26 zásahů do textu (oprav).
Jednou deset minut a ušetříš hodiny

Uživatelský avatar
marian34
Level 2
Příspěvky: 40
Registrován: 06 pro 2007, 20:10

22 lis 2008, 16:40

Tak túto otázku som si mohol naozaj ušetriť. Z toho ale vyplýva, že SIPdump je pre wifi nepoužiteľný, nevie snifovať na rozhraní ath v monitor mode. Je tu ešte možnosť použiť tcpdump alebo wireshark. Ďalšia možnosť je nahodiť v BackTrack SIP klienta a snifnuť autorizaciu na rozhrani eth pomocou samotného SIPdump. Viete o nejakom tom SIP klientovy?

Sry za tie chyby v textoch, určite sa polepším. A môžeš mi v skratke povedať načo su tie medzery dobre?

Uživatelský avatar
backman
Level 7
Příspěvky: 304
Registrován: 30 čer 2008, 17:01
Bydliště: Praha [CZ]

22 lis 2008, 16:55

Jak nepoužitelný? Vždyť před chvilkou to cocaine vysvětloval :)

Ps: Mezera slouží pro oddělení slova a lepší orientaci v textu.
Ve Fóru používejte diakritiku a čtěte nápovědu než odešlete první post!

Uživatelský avatar
marian34
Level 2
Příspěvky: 40
Registrován: 06 pro 2007, 20:10

23 lis 2008, 15:00

Toto je výstup z příkazu sipdump -i eth0 subor

Kód: Vybrat vše

192.168.1.10"217.66.191.10"650822509"asterisk"REGISTER"sip:217.66.191.10"3ef34cd0""""MD5"31b8c69bf18d7265602e64253058f116
potrebný pre sipcrack, pričom na rozhraní eth0 bol spustený SIPclient Softphone. Nie je ťažké si tam doplniť dáta z akéhokoľvek snifu - airodump-ng - wireshark. Potrebujem vedieť, ako sa dá z wifi snifu z WPA zabezpečením dostať nešifrovane dáta pri znalosti PSK - je to možné? Takisto k téme patrí práca z MD5 funkciou, ktorá je prelomená. Vie niekto ako sa hackuje MD5?

Uživatelský avatar
backman
Level 7
Příspěvky: 304
Registrován: 30 čer 2008, 17:01
Bydliště: Praha [CZ]

24 lis 2008, 21:47

To na co se ptáš je v příspěvku číslo 2. Máš hash, máš IP adresu. Použij SIPcrack + slovník.

Adm edit: Diskuze otevřena - v případě, že máte kdokoliv nejasnosti kolem věcí které děláte místo emocí používajte IRC kanál tam si můžete vysvětlit základní pojmy před položením dotazu ve fóru - lépe než se tady natahovat o věcech které již byli napsány (zodpovězeny). Mimochodem sipdump moc na kartě v monitor módu bežet nechce - chce to malo úpravu zdrojáku, použít TCPdump nebo jinou aplikaci - o jedné se psalo na AMP loni.
Ve Fóru používejte diakritiku a čtěte nápovědu než odešlete první post!

Odpovědět
  • Informace
  • Kdo je online

    Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 1 host