Русский / Russian English / Английский

Сейчас на форуме: (+1 невидимый пользователь)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS ·

 eXeL@B —› Основной форум —› Сниффер сокетов
Посл.ответ Сообщение

Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 01 июля 2017 09:53 New!
Цитата · Личное сообщение · #1

Столкнулся с одной проблемой. Имеется программа, которая стучится на сайт, для проверки своей регистрации. При этом, она, с помощью функции send, отправляет на специальный сокет данные, от которого, с помощью функции recv, получает ответы, которые имеют разную длину - от 1 байта до 2000 байтов. При этом получается около 30 ответов. При попытке ручного копирования отправляемых запросов и получаемых ответов, срабатывает временная "бомба", и программа закрывается. Попытка применить CommView, Wireshark и fidler не увенчалась успехом, поскольку они не работают с сокетами. Можно написать скрипт для копирования отправляемых запросов и получаемых ответов, который будет работать намного быстрее, чем ручное копирование данных, но возможно уже имеются какие-то инструменты, которые выполняют эту задачу. Прошу подсказать мне такие инструменты.



Ранг: 18.3 (новичок)
Статус: Участник

Создано: 01 июля 2017 10:52 New!
Цитата · Личное сообщение · #2

Ставишь mitmproxy, записываешь трафик и потом проигрываешь.

http://docs.mitmproxy.org/en/stable/mitmdump.html

также есть скриптинг, можно наворотить чего угодно



Ранг: 130.4 (ветеран)
Статус: Участник

Создано: 01 июля 2017 11:12 New!
Цитата · Личное сообщение · #3

Собственный драйвер-фильтр не решение проблемы ?

Добавлено спустя 3 минуты
h**p://www.codemachine.com/article_tdi.html




Ранг: 324.3 (мудрец)
Статус: Участник

Создано: 01 июля 2017 11:35 · Поправил: DenCoder New!
Цитата · Личное сообщение · #4

vnekrilov пишет:
Попытка применить CommView, Wireshark и fidler не увенчалась успехом, поскольку они не работают с сокетами.

Про WireShark такое слышать удивительно ). Была у меня тоже задача, поставил для этого новую версию вайршарка на Win7 - да, почему-то новая версия "глухая" была, не способна "слушать" трафик. Не стал разбираться тогда, но на досуге надо бы понять, в чём дело. Из старых версий могу сказать, что Version 1.12.13 (v1.12.13-0-g969649d from master-1.12) - рабочая в этом плане, прям сейчас проверил. Но, кстати, об TDI - на его основе можно написать дров так, что прослушать трафик можно будет только извне

Добавлено спустя 2 минуты
vnekrilov
Не Raw Sockets имеешь в виду ?

Вариант вертится в голове, отправка к TDI и подобным. Примерно звучит так - происходит перенаправление на низком уровне, там где рядовой снифер не способен подцепиться. То есть, для этого должен быть соответствующий дров в комплекте с прогой.




Ранг: 569.3 (!)
Статус: Участник
оптимист

Создано: 01 июля 2017 15:32 · Поправил: ClockMan New!
Цитата · Личное сообщение · #5

vnekrilov
Захучить ни как? я в своё время ломал одну прогу, тоже данные с тырнета брала, я поставил тупо джам и подсовывал левые данные и всё было норм




Ранг: 1056.0 (!!!!)
Статус: Участник

Создано: 01 июля 2017 15:44 New!
Цитата · Личное сообщение · #6

а какая разница сокет или ваершарк ?
сокет в ссл что ли ?



Ранг: 95.1 (постоянный)
Статус: Участник

Создано: 01 июля 2017 16:02 New!
Цитата · Личное сообщение · #7

wpe pro до сих пор сокеты отлавливает добротно.



Ранг: -0.7 (гость)
Статус: Участник

Создано: 01 июля 2017 21:40 New!
Цитата · Личное сообщение · #8

самые простые варианты - прокси dll, хуки, прокси сервер.
на SO все это есть.



Ранг: 512.7 (!)
Статус: Модератор

Создано: 02 июля 2017 10:08 New!
Цитата · Личное сообщение · #9

vnekrilov пишет:
срабатывает временная "бомба", и программа закрывается

бомба ето громко сказано

скорее всего в пакетах есть поле для таймштампа. ясное дело если играть пакетов опять и опять то получится рассинрон по времени. Програма ето палит.

vnekrilov пишет:
с помощью функции send, отправляет на специальный сокет данные, от которого, с помощью функции recv, получает ответы


Значит у вас работа или по TCP или по UDP


vnekrilov пишет:
Попытка применить CommView, Wireshark и fidler не увенчалась успехом

почему?
все 3 утилитки нормально лапают и декодируют траффик что TCP что UDP
друго дело если он пошифрован (кустарно) или идет в трубе https

CommView выгодно отличается тем фактом, что умеет еще определять процесс, что делает приемо-передачу.

| Сообщение посчитали полезным: VodoleY


Ранг: 95.1 (постоянный)
Статус: Участник

Создано: 02 июля 2017 12:55 New!
Цитата · Личное сообщение · #10

Генерить тдс великая проблема разве ? :D Ну-ну.
Про шифрование тоже бред. Согласование портов должно быть. Для этого на сервак забрасывают crossdomain.xml. Что там за кустарный протокол на сокетах реализован - дело второе. Отправляется весь пакет в виде строки и все будет ровно.
Я написал про впе про, так как даже актуальные приложения вк, которые пашут на сокетах, снифаются на ура через инжект в браузер. Никаких проблем не возникает даже под Win10, хотя софт стар как говно мамонта.



Ранг: 512.7 (!)
Статус: Модератор

Создано: 02 июля 2017 17:44 New!
Цитата · Личное сообщение · #11

unknownproject пишет:
Я написал про впе про


не умеет сниффить x64



Ранг: 329.6 (мудрец)
Статус: Участник

Создано: 03 июля 2017 14:36 New!
Цитата · Личное сообщение · #12

Всем спасибо за ответы, и особенная благодарность sendersu. Вопрос решен, и тема закрыта...


 eXeL@B —› Основной форум —› Сниффер сокетов
Эта тема закрыта. Ответы больше не принимаются.

Видеокурс ВЗЛОМ