Authentifcation et Interception

TPB01 · 25-02-2014 03:22:01

Bonjour à tous !
Voilà la situation. J'suis dans un réseau et j''arrive à me placer dans une situtation de man in the middle. Le sous réseaux possède un serveur qui gère l'authentification des utilisateurs via un portail captif. Le portail en question est une page web au protocole http. Mais la sécurité du crytage des mots de passe lors de l'authentification est effectué par du javascript.
J'aimerais pouvoir prouver qu'une t'elle sécurité n'est pas sûr. Que l'on peut empêcher le cryptage d'avoir lieu en interceptant et /ou détruisant le fichier javascript responsable du cryptage lors de sa transmission par le serveur au client. Le javascript s'exécute du côté client. Donc à chaque fois que le client veux s'authenfier, il demande au serveur le code javascript responsable du cryptage par la méthode GET et le serveur répond en lui envoyant le fichier javascript. ce fichier s'appellera par exemple crypt.js (js pour javascript)
Je voudrais pouvoir dans une situation de Man in the Middle empêcher la réception de ce fichier par l'utilsateur tout en sachant que lorsqu'il ne l'aura pas, son login et son mot de passe circulerons alors tous deux en claire sur le réseau.
Je vous remercie d'avance pour vos éclaircissement.

WarLocG · 25-02-2014 15:22:31

Voilà la situation. J'suis dans un réseau et j''arrive à me placer dans une situtation de man in the middle. Le sous réseaux possède un serveur qui gère l'authentification des utilisateurs via un portail captif. Le portail en question est une page web au protocole http. Mais la sécurité du crytage des mots de passe lors de l'authentification est effectué par du javascript.
J'aimerais pouvoir prouver qu'une t'elle sécurité n'est pas sûr. Que l'on peut empêcher le cryptage d'avoir lieu en interceptant et /ou détruisant le fichier javascript responsable du cryptage lors de sa transmission par le serveur au client. Le javascript s'exécute du côté client. Donc à chaque fois que le client veux s'authenfier, il demande au serveur le code javascript responsable du cryptage par la méthode GET et le serveur répond en lui envoyant le fichier javascript. ce fichier s'appellera par exemple crypt.js (js pour javascript)
Je voudrais pouvoir dans une situation de Man in the Middle empêcher la réception de ce fichier par l'utilsateur tout en sachant que lorsqu'il ne l'aura pas, son login et son mot de passe circulerons alors tous deux en claire sur le réseau.

Je ne suis pas sur que tu recevras une réponse positive pour cette demande.

Je m'explique : bien qu'on ait des discussion qui peuvent laisser un doute, ce forum n'est pas un forum de cracking. Entre t'aider sur sur des problèmes liés à des drivers ou des paramétrages réseaux et t'aider à compromettre un serveur/site qui de toute évidence ne t'appartient pas, plus vol d'informations d'utilisateurs via un man-in-the-middle, il y a une grosse différence là.

Encore ton autre poste (celui-ci) concerne un moyen de se défendre et je t'y aiderai avec joie si j'avais les réponses à ta demande mais ici il s'agit très clairement de vouloir compromettre la sécurité d'une infrastructure dans laquelle tu n'est pas autorisée à t'y rendre ainsi que du vol d'information utilisateur.

Je vais laisser la décision au gourou de trancher si on t'aide ou pas concernant cette demande. Mais pour ma part, coyotus.com ne se fera pas complice si tes actions arrivent à terme. J'espère que tu me comprends.

J'aimerais pouvoir prouver qu'une t'elle sécurité n'est pas sûr

Tu as créé un labo chez toi pour tester ce genre de proof-of-concept ? Sinon c'est illégal.

Bien à toi.

IceF0x · 25-02-2014 19:48:09

En effet, le forum traite de l'utilisation des outils et non de la théorie d'une attaque ou de test de sécurité.
Il existe des forum dédié pour la sécurité informatique, sur lequel on t'aidera surement.

http://hackademics.fr/forum.php par exemple.

notfound · 25-02-2014 22:31:58

Salut TPB01,

Sujet très intéressant auquel j'aimerai répondre (désolé Warlog, Icefox)...

Si tu arrives à te placer en MITM, alors tu as fait 90% du boulot. Si le traffic est du http, il te suffit de créer ton propre crypt.js (dans le cas où le client en a OBLIGATOIREMENT besoin) et de le balancer à la place du vrai. Dans le cas où le client n'en a pas besoin (je veux dire par là s'il y a vérification ou non), il te suffit tout simplement de drop le vrai crypt.js lorsqu'il passe !

Une autre solution très élégante serait de chopper le vrai crypt.js, et de matter le code source. Ensuite, il n'y aurait plus qu'à lire le code et reverse le bouzin smile

Good luck

TPB01 · 26-02-2014 00:12:03

@WarLocG, excuse moi mais tu ne m'aide pas souvent donc j'suis pas surpris par ta réponse. Et comment tu peux me poser des questions et y répondre en même temps ? Serais tu Dieu le Père ? Lorsque tu poses une question qui n'est pas purement rhétorique tu devrais laisser ton interlocuteur y répondre.

ce forum n'est pas un forum de cracking

j'crois que là c'est plutôt du hacking. Maintenant j'peux plus rien te dire car tu semble tout savoir.

Bien à toi.

Merci !
J'suis pas en europe mon ami. Et sache que je sais ce qui est illégal dans mon pays, OK ? La notion du bien et du mal ne m'échappe guère.

@IceFox, Faudrait donc définir ce que tu entends par Sécurité dans ce forum; et je crois que j'ai vu des tutos plutôt très très pentest sur ce site, je ne les citerai pas, tu peux toi même les identifier.

@yzeeW

Je pense que tu créé des postes pour qu'on puisse te donner la bonne réponse

Selon toi à quoi ça sert les postes ? Une indication de bonne réponse ou une bonne réponse l'écart n'est vraiment pas grand pour un esprit aiguisé. Et à qu'elle moment tu l'as fait lors de mes postes ? Tu parles trop. Et oui tu parles plus que tu n'en sais et plus que tu n'en peut faire.

Le poste concernant l'utilisation de tes deux/trois modems tu n'as même pas fait un effort d'essayer

Et tu peux me dire comment j'ai fait pour y arriver au résultat ? Je crois quand même avoir donné la bonne réponse non ? Et c'est pas grace à toi à ce que je sache. Comme d'habitude, tu ne faisais que trop parler.

mais je pense que tu devrais te concentrer sur un seul sujet

Le cerveau humain est assez puissant pour faire ce genre de chose. Combien d'UV avais tu par semestre ? Tu ne les validais donc pas ? Je t'en pris épargne moi ce genre de penser à l'avenir, ça pourrait endormir les faibles d'esprit. Et si tu remarquais si bien tu verrais que j'ai toujours répondu à la plupart des postes que j'ai créé sinon y participé fortement.
Tu as vu l'unique tuto que j'ai produit ........... J'arrête de te causer tu croiras que j'ai quelque chose à te prouver. Bonne suite à toi !

@notfound : Tout d'abord Merci !
J'ai une unique question pour toi à laquelle j'aimerais bien que tu y répondes si tu bien sûr tu as un élément de réponse tu as dis :

il te suffit tout simplement de drop le vrai crypt.js lorsqu'il passe

Comment ? C'est là qu'est toute la difficulté. Si tu as même des indices concrets de réponse, n'hésite pas. Merci déjà pour cette réflexion plutôt éclairé à mon avis.
Et au fait, @WarLocG, @IceFox j'espère que vous ne vous servez jamais des CVE qui sont publiées gratuitement, ni des failles de sécurité qui sont dévoilé un peu partout sur le web. L'objectif est d'améliorer très cher pas de détruire. Mettez vous bien ça à l'idée comme ça vous pourrai peut être me comprendre.

Dernière modification par TPB01 (26-02-2014 01:49:05)

IceF0x · 26-02-2014 01:14:02

TPB01 a écrit :

@IceFox, Faudrait donc définir ce que tu entends par Sécurité dans ce forum; et je crois que j'ai vu des tutos plutôt très très pentest sur ce site, je ne les citerai pas, tu peux toi même les identifier.

Je t’arrête tout de suite là, les tuto que j'ai posté dans la section sécurité sont en général des tuto de sécurisation ou de prévention, et non pas d'attaque.

Exemple:

Sécuriser un server ubuntu contre le Ddos avec slowloris

Protéger son réseau wifi du vol de connexion

[Tuto]Se protéger de l'attaque WPS sur les Bbox2 de Belgacom

[Alerte]Phishing Belfius

Quand au tuto "plutôt très très pentest" comme tu dit ils se limitent à l'utilisation d'outils, aucun ne dévoile une quelconque exploitation, il ont tout été testé en condition simulé en créant un labo avec des machines de tests ou des machines virtuelles.
On ne peut pas faire de tutoriel sur certains outils de distributions comme backtrack ou Kali Linux sans en expliquer leurs fonctionnements par des exemples, mais cela ne veut en rien dire qu'il ont servi comme incitation à une quelconque exploitation ou utilisation illégale.

TPB01 a écrit :

Et au fait, @WarLocG, @IceFox j'espère que vous ne vous servez jamais des CVE qui sont publiées gratuitement, ni des failles de sécurité qui sont dévoilé un peu partout sur le web. L'objectif est d'améliorer très cher pas de détruire. Mettez vous bien ça à l'idée comme ça vous pourrai peut être me comprendre.

Non, aussi curieusement que cela puisse te paraitre, je me suis toujours contenté de lire le manuel et faire des recherches sur google et ensuite de créer des labo sous machines virtuelle ou avec de vieux PC pour tester mes tutoriels, malheureusement les tutoriels concernant les autres thèmes que backtrack et Kali Linux ont moins de succès.
J'utilise debian et Archlinux journellement, comme distribution de tout les jours, mais j'étudie le fonctionnement des outils de kali Linux parce que je fait partie du staff de kali-fr en tant que helper ce qui n'a en gros rien a voir avec du pentesting, mais de l'aide à l'installation et l'usage.

Dans ta question initiale, tu ne parle pas de l'utilisation d'un outils provenant d'une distribution tel que backtrack ou kali, mais une aide pour un test de sécurité d'intrusion et d'exploitation.
Je t'ai simplement conseillé de te renseigner sur un forum plus qualifié dans ce domaine afin que tu puisse avoir une meilleure aide qu'ici.

Maintenant, chacun est libre de te répondre si il peut t'aider ou donner son avis, comme je le répète le forum défend la liberté, mais j'aimerais qu'une discussion ne parte pas en règlement de compte parce qu'une réponse d'un membre ne plait pas, aussi j'aimerais demander à tout les membres que la discussion continue dans la sérénité afin de ne pas devoir locker le fil.

Si tu trouve une réponse déplaisante, tu sais bien que je suis disponible régulièrement le soir (heure belge) sur IRC ou en message personnel pour en discuter.

Yzeew · 26-02-2014 02:16:26

C'est exactement à quoi je pensais, ton comportement est agressif en vers les gens qui ne te donne pas la "bonne réponse".

Encore une fois, tu attends qu'on te donne la bonne réponse sans que aies faire de recherche avant. Exemple :

notfound a écrit :

il te suffit tout simplement de drop le vrai crypt.js lorsqu'il passe

Il ta déjà donné la bonne soluce.

TPB01 a écrit :

Comment ?

LOL. Mr veux qu'on lui donne la réponse toute faite. Tu vois de quoi je parle ?
Tu ne fais pas d'effort, tu cherche tout simplement la soluce toute faite !

Je pense que tu devrais plutôt faire tes base parce que la tu passe pour un abruti, oups excuse-moi c'est sorti tout seul. Non mais, mec regarde toi avant d'attaquer les gens qui ne te donne pas la "bonne réponse toute faite". Ici c'est un forum d’entraide, pas ou on vient chercher la solution toute prête.

PS: Tu peux dire tout ce que tu penses de moi, sais tu la grande différence entre nous ? Excuse-moi Mr le Pape, je vais vous répondre à ma propre question wink .
Mes connaissances sont largement plus approfondi que les tiennes, voilà tout simplement !

Dernière modification par Yzeew (26-02-2014 02:24:34)

TPB01 · 26-02-2014 02:19:23

@IceF0x
OK ! C'est claire.
J'ai un peu modifier mon post précédent pour m'adapter à ta réponse.

IceF0x · 26-02-2014 07:18:38

@Yzeew j'aimerais que la discussion continue dans la sérénité afin de ne pas devoir locker le fil.

@TPB01 j'ai pas compris, tu a modifié quoi ?

Yzeew · 26-02-2014 09:24:38

IceF0x a écrit :

@Yzeew j'aimerais que la discussion continue dans la sérénité afin de ne pas devoir locker le fil.

Pas de soucis, pour moi ça se termine ici.

#1 25-02-2014 03:22:01

Authentifcation et Interception

#2 25-02-2014 15:22:31

Re : Authentifcation et Interception

#3 25-02-2014 19:48:09

Re : Authentifcation et Interception

#4 25-02-2014 22:31:58

Re : Authentifcation et Interception

#5 26-02-2014 00:12:03

Re : Authentifcation et Interception

#6 26-02-2014 01:14:02

Re : Authentifcation et Interception

#7 26-02-2014 02:16:26

Re : Authentifcation et Interception

#8 26-02-2014 02:19:23

Re : Authentifcation et Interception

#9 26-02-2014 07:18:38

Re : Authentifcation et Interception

#10 26-02-2014 09:24:38

Re : Authentifcation et Interception

Pied de page des forums