• STATISTIQUES
  • Il y a eu un total de 1 membres et 11489 visiteurs sur le site dans les dernières 24h pour un total de 11 490 personnes!


    Membres: 2 604
    Discussions: 3 579
    Messages: 32 816
    Tutoriels: 78
    Téléchargements: 38
    Sites dans l'annuaire: 58


  • ANNUAIRE
  • [EN] Lost-chall
    Site de challenge présenté sous la forme de différente saison. Pour passer une saison vous devez avoir accumulÃ...
    Challenges
    [FR] Root-me
    Script: 5, Système: 20, Cracking: 16, Cryptanalyse: 17, Programmation: 8, Réaliste: 11, Réseau: 10, Stéganog...
    Challenges
    [FR] Forum-Webmaster
    Une communauté webmaster pour apporter / recevoir de l'aide en création de site internet. Webmaster...
    Webmaster
    [EN] Rosecode
    Programming: 36, Math: 29, Probability: 5, Sequence: 7, Crypto: 4, Brainf**k: 13, TimeRace: 4, Hack: 9
    Challenges
    [FR] apprendre-a-manipuler
    Site d'apprentissage de la manipulation d'autrui.
    Hacking
    [EN] Exploit-db
    Une base de données d'exploits triés par genre (GHDB, Remote, Local, Web, DOS, ShellCode) à ...
    Vulnérabilités
    [EN] Packet Storm
    Packet Storm est un site qui combine nouvelles de la sécurité informatique, téléchargemen...
    Vulnérabilités

  • DONATION
  • Si vous avez trouvé ce site internet utile, nous vous invitons à nous faire un don du montant de votre choix via Paypal. Ce don servira à financer notre hébergement.

    MERCI!

    €



Note de ce sujet :
  • Moyenne : 0 (0 vote(s))
  • 1
  • 2
  • 3
  • 4
  • 5
[résolu] Reconnaissez-vous ce protocole ?
11-11-2012, 03h50 (Modification du message : 26-11-2012, 17h27 par b0fh.)
Message : #1
b0fh Hors ligne
Membre actif
*



Messages : 210
Sujets : 17
Points: 309
Inscription : Jul 2012
[résolu] Reconnaissez-vous ce protocole ?
Hello,

J'essaie d'identifier un service réseau que nmap ne reconnait pas. Il tourne sur tcp/12345, sur une machine Linux. pour l'instant je n'ai observé que deux comportements différents: soit il ferme la connexion sans rien transmettre, soit il envoie ceci:

Code :
00000000  ff 00 0e 00 50 00 72 00  6f 00 74 00 6f 00 63 00  |....P.r.o.t.o.c.|
00000010  6f 00 6c 00 20 00 65 00  72 00 72 00 6f 00 72     |o.l. .e.r.r.o.r|

Je suppose que le FF00 au début est une BOM UTF-16, et que le 0x0E qui suit correspond à la longueur du message envoyé.

EDIT: il semblerait plutot que le FF soit une marque, suivi par la longeur de la réponse codée sur 2 bytes (si j'envoie [FF {xx} {yy}] suivi de garbage, je reçois une protocol error après exactement 0x{xx}{yy} bytes de garbage.

Est-ce que quelqu'un a déja vu ça ? une idée de quel service ce pourrait être ?

EDIT: c'était un serveur minecraft. Merci pour vos efforts !
+1 (0) -1 (0) Répondre
11-11-2012, 03h52
Message : #2
sakiir Hors ligne
[sakiir@Ubuntu]:~$ ./ExploitMe ShellC0de
*



Messages : 411
Sujets : 51
Points: 34
Inscription : Sep 2012
RE: Reconnaissez-vous ce protocole ?
mmmh jamais vu ... tape le code ASII sur google ..
+1 (0) -1 (0) Répondre
23-11-2012, 12h57
Message : #3
Phobos Hors ligne
Membre
*



Messages : 41
Sujets : 2
Points: 6
Inscription : Oct 2011
RE: Reconnaissez-vous ce protocole ?
Je sais pas si ça peut aider mais quand plusieurs 00 se suivent c'est possible que le protocole raccourcisse par un seul 00
« Ce n'est pas parce qu'ils sont nombreux à avoir tort qu'ils ont raison. »
+1 (0) -1 (0) Répondre
23-11-2012, 13h03
Message : #4
supersnail Hors ligne
Éleveur d'ornithorynques
*******



Messages : 1,608
Sujets : 71
Points: 466
Inscription : Jan 2012
RE: Reconnaissez-vous ce protocole ?
@Phobos: malheureusement ce n'est pas le cas ici (comme le dit b0fh, c'est plus de l'UTF-quelquechose, bref un tableau de wchar). Aucune idée d'où ça peut venir par contre.
Mon blog

Code :
push esp ; dec eax ; inc ebp ; and [edi+0x41],al ; dec ebp ; inc ebp

"VIM est merveilleux" © supersnail
+1 (0) -1 (0) Répondre
23-11-2012, 14h46
Message : #5
JulienetNel
Non-enregistré



 
RE: Reconnaissez-vous ce protocole ?
Le Port 12345/TCP est utiliser souvent sur Windows comme backdoors par des trojans, si je ne dis pas de connerie. Je ne sais pas, néanmoins si c'est le cas sur Linux .

http://www.speedguide.net/port.php?port=12345
http://www.auditmypc.com/tcp-port-12345.asp
http://www.corrupteddatarecovery.com/Por...NetBus.asp

Édit : Visiblement ce n'est pas le cas sur Gnu/linux :
http://www.linuxsa.org.au/pipermail/linu...19292.html

Le port 12345/TCP est peut être verrouiller pour éviter, justement qu'on y touche.
positive (0) negative (0) Répondre
23-11-2012, 15h38
Message : #6
b0fh Hors ligne
Membre actif
*



Messages : 210
Sujets : 17
Points: 309
Inscription : Jul 2012
RE: Reconnaissez-vous ce protocole ?
Le port n'est pas firewallé puisque j'arrive a m'y connecter et a communiquer avec. Et je suis quasiment certain que nmap est capable de reconnaitre NetBus.
+1 (0) -1 (0) Répondre
23-11-2012, 20h29
Message : #7
LR-6 Hors ligne
Membre actif
*



Messages : 100
Sujets : 3
Points: 10
Inscription : Mar 2012
RE: Reconnaissez-vous ce protocole ?
Et puis on est en 2012, personne n'utilise NetBus de nos jours.
+1 (0) -1 (0) Répondre
24-11-2012, 18h01
Message : #8
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: Reconnaissez-vous ce protocole ?
(11-11-2012, 03h50)b0fh a écrit : une idée de quel service ce pourrait être ?

si tu as un accès root à la machine l'option -p de netstat peut être ton ami
+1 (0) -1 (0) Répondre
24-11-2012, 18h03
Message : #9
InstinctHack Hors ligne
Posting Freak
*



Messages : 1,366
Sujets : 184
Points: 299
Inscription : Dec 2011
RE: Reconnaissez-vous ce protocole ?
(24-11-2012, 18h01)gruik a écrit :
(11-11-2012, 03h50)b0fh a écrit : une idée de quel service ce pourrait être ?

si tu as un accès root à la machine l'option -p de netstat peut être ton ami

j'imagine que si il l'avait, il n'aurais pas poster Smile
Citation :un jour en cours de java j'ai attrapé les seins d'une fille mais elle m'a frappé en disant "c'est privé !!"
j'ai pas compris pourquoi, je croyais qu'on était dans la même classe
+1 (0) -1 (0) Répondre
26-11-2012, 17h26
Message : #10
b0fh Hors ligne
Membre actif
*



Messages : 210
Sujets : 17
Points: 309
Inscription : Jul 2012
RE: Reconnaissez-vous ce protocole ?
Mystère élucidé: c'est un serveur minecraft.

le 0xFF est le code de kick (vu que le protocole est incorrect), et envoyer un unique byte 0xFE (server ping) renvoie le nom du serveur dans une string utf16.
+1 (0) -1 (0) Répondre
26-11-2012, 17h46
Message : #11
ark Hors ligne
Psyckomodo!
*****



Messages : 1,033
Sujets : 48
Points: 317
Inscription : Sep 2011
RE: [résolu] Reconnaissez-vous ce protocole ?
Ahah ^^'
On peut savoir comment tu l'as découvert ?
+1 (0) -1 (0) Répondre
26-11-2012, 18h27
Message : #12
gruik Hors ligne
gouteur de savon
*



Messages : 757
Sujets : 44
Points: 482
Inscription : Oct 2012
RE: [résolu] Reconnaissez-vous ce protocole ?
(26-11-2012, 16h22)b0fh a écrit :16:22:31 <+MacYavel> j'ai essayé de lui envoyer 0xfe a la place de 0xff, juste pour voir
16:22:40 <+MacYavel> coup de bol c'est le message "show server satus"

comme quoi des fois ça tient à peu de choses ^^
+1 (0) -1 (0) Répondre


Sujets apparemment similaires…
Sujet Auteur Réponses Affichages Dernier message
  Protocole de communication chiffré et décentralisé InstinctHack 2 94 03-04-2013, 02h31
Dernier message: InstinctHack

Atteindre :


Utilisateur(s) parcourant ce sujet : 2 visiteur(s)
N-PN
Accueil | Challenges | Tutoriels | Téléchargements | Forum | Retourner en haut