Перехват ICQ паролей

Константин Клягин

Xakep, номер #052, стр. 052-082-2

3835389642 win 9520 (DF)

0x0000 4500 0028 e700 4000 8006 9cbe c0a8 ae02 E..(..@.........

0x0010 400c c859 0421 1446 0009 72f2 e49b 66ca @..Y.!.F..r...f.

0x0020 5010 2530 3ccb 0000 0000 0000 0000 P.%0<.........

12:37:12.242904 vasya.ournet.int.1057 > ibucp-vip-m.blue.aol.com.5190: P 0:138(138) ack 11 win 9510 (DF)

0x0000 4500 00b2 e800 4000 8006 9b34 c0a8 ae02 E.....@....4....

0x0010 400c c859 0421 1446 0009 72f2 e49b 66d4 @..Y.!.F..r...f.

0x0020 5018 2526 f4f1 0000 2a01 6bd0 0084 0000 P.%&....*.k.....

0x0030 0001 0001 0009 3235 3139 3832 3637 3800 ......251982678.

0x0040 0200 068b 5ef9 f50b b500 0300 3349 4351 ....^.......3ICQ

0x0050 2049 6e63 2e20 2d20 5072 6f64 7563 7420 .Inc..-.Product.

0x0060 6f66 2049 4351 2028 544d 292e 3230 3030 of.ICQ.(TM).2000

0x0070 622e 342e 3630 2e31 2e33 3237 382e 3835 b.4.60.1.3278.85

0x0080 0016 0002 010a 0017 0002 0004 0018 0002 ................

0x0090 003c 0019 0002 0001 001a 0002 0cce 0014 .<..............

0x00a0 0004 0000 0055 000f 0002 656e 000e 0002 .....U....en....

0x00b0 7573 us

Итак, внимание! Последний блок данных содержит UIN (251982678) в виде обычного текста. На руку нам играет тот факт, что внутри логин-пакета находится и уникальная сигнатура - " .. Product of ICQ (TM) ..". По этой сигнатуре мы сможем отлавливать пакеты в автоматическом режиме. Но где же пароль?

Отключим настройку для запоминания пароля в "аське". Идем в ICQ -> Security & Privacy -> Password и убираем галочку с "Save password". Нажимаем "Save", вводим верный пароль - программа зачем-то его спрашивает при изменении настроек. После чего пытаемся залогиниться с разными неправильными паролями, не забывая наблюдать за трафиком.

Вот пакет с паролем "abcd":

0x0000 4500 00b0 fc00 4000 8006 adf6 c0a8 ae02 E.....@.........

0x0010 400c a199 0424 1446 0011 b946 0d8a 9483 @....$.F...F....

0x0020 5018 2526 9df2 0000 2a01 72b3 0082 0000 P.%&....*.r.....

0x0030 0001 0001 0009 3235 3139 3832 3637 3800 ......251982678.

0x0040 0200 0492 44e2 a000 0300 3349 4351 2049 ....D.....3ICQ.I

0x0050 6e63 2e20 2d20 5072 6f64 7563 7420 6f66 nc..-.Product.of

0x0060 2049 4351 2028 544d 292e 3230 3030 622e .ICQ.(TM).2000b.

0x0070 342e 3630 2e31 2e33 3237 382e 3835 0016 4.60.1.3278.85..

0x0080 0002 010a 0017 0002 0004 0018 0002 003c ...............<

0x0090 0019 0002 0001 001a 0002 0cce 0014 0004 ................

0x00a0 0000 0055 000f 0002 656e 000e 0002 7573 ...U....en....us

А вот - "123":

0x0000 4500 0028 0601 4000 8006 7dbe c0a8 ae02 E..(..@...}.....

0x0010 400c c859 0427 1446 001b 367c 4530 25e8 @..Y.'.F..6|E0%.

0x0000 4500 00af 0701 4000 8006 7c37 c0a8 ae02 E.....@...|7....

0x0010 400c c859 0427 1446 001b 367c 4530 25f2 @..Y.'.F..6|E0%.

Назад на стр. 052-082-1  Содержание  Вперед на стр. 052-082-3
Hosted by uCoz