Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
Если это все, что видно (а не только начало пакета), то... 23.03.06 14:46 Число просмотров: 7868
Автор: xenon Статус: Незарегистрированный пользователь
|
Если это все, что видно (а не только начало пакета), то выставлен маленький снаплен. По умолчанию tcpdump перехватывает только первые байты пакета, в которых контрольная информация. А сами данные отбрасывает.
добавь:
-s snaplen
если на езернете при MTU 1500, то снаплен должен быть 1514 (14 - длина езернет заголовка).
|
|
<hacking>
|
tcpdump - нужно перехватить HTTP данные передаваемые в форму (POST) 23.12.05 15:39
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
|
Всем привет
есть срочная необходимость перехватить данные (логин/пароль) которые передает пользователь
из анализаторов на гейте могу включить только tcpdump, а для анализа могу использовать на виндовой машине что угодно (сейчас стоит ethereal)
Проблема в том, что я не вижу что было помещено в форму, вижу только
0000 00 30 48 70 b0 c1 00 0e 0c 5e 92 15 08 00 45 00 .0Hp.....^....E.
0010 03 ee 14 7e 40 00 80 06 15 f5 c0 a8 10 79 c2 43 ...~@........y.C
0020 39 32 04 9c 00 50 32 86 21 9a 26 69 f2 3b 50 18 92...P2.!.&i.;P.
0030 ff ff e4 89 00 00 50 4f 53 54 20 2f 63 67 69 2d ......POST /cgi-
0040 62 69 6e 2f 61 75 74 68 20 48 54 54 50 2f 31 2e bin/auth HTTP/1.
0050 31 0d 0a 41 63 63 65 70 74 3a 20 69 6d 61 67 65 1..Accept: image
0060
а где же данные? как их увидеть?
|
|
Если это все, что видно (а не только начало пакета), то... 23.03.06 14:46
Автор: xenon Статус: Незарегистрированный пользователь
|
Если это все, что видно (а не только начало пакета), то выставлен маленький снаплен. По умолчанию tcpdump перехватывает только первые байты пакета, в которых контрольная информация. А сами данные отбрасывает.
добавь:
-s snaplen
если на езернете при MTU 1500, то снаплен должен быть 1514 (14 - длина езернет заголовка).
|
|
Смотри в ethereal раскодированое содержимое потока TCP. Не... 23.12.05 17:19
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> Всем привет
> есть срочная необходимость перехватить данные
> (логин/пароль) которые передает пользователь
> из анализаторов на гейте могу включить только tcpdump, а
> для анализа могу использовать на виндовой машине что угодно
> (сейчас стоит ethereal)
>
> Проблема в том, что я не вижу что было помещено в форму,
> вижу только
>
> 0000 00 30 48 70 b0 c1 00 0e 0c 5e 92 15 08 00 45 00
> .0Hp.....^....E.
> 0010 03 ee 14 7e 40 00 80 06 15 f5 c0 a8 10 79 c2 43
> ...~@........y.C
> 0020 39 32 04 9c 00 50 32 86 21 9a 26 69 f2 3b 50 18
> 92...P2.!.&i.;P.
> 0030 ff ff e4 89 00 00 50 4f 53 54 20 2f 63 67 69 2d
> ......POST /cgi-
> 0040 62 69 6e 2f 61 75 74 68 20 48 54 54 50 2f 31 2e
> bin/auth HTTP/1.
> 0050 31 0d 0a 41 63 63 65 70 74 3a 20 69 6d 61 67 65
> 1..Accept: image
> 0060
>
> а где же данные? как их увидеть?
Смотри в ethereal раскодированое содержимое потока TCP. Не помню точно как называется этот пункт меню - он появляется если ликнешь правой кнопкой на TCP-пакет. Полученное сохраняй в файл.
Далее читай файло.
Hint: на неоторых осях по дефолту может быть включено ограничение: капчурить только первые 68 байт пакета. Заведи привычку всегда запускать tcpdump с ключиком "-s0"
|
| |
заюзал этот ключ и было мне счастье ;) Сенькс 23.12.05 17:47
Автор: Cyber_Onix Статус: Незарегистрированный пользователь
|
|
|
|
|
подробно о проекте
Анализ криптографических сетевых...
