+- N-PN White-Hat Project (https://n-pn.fr/forum)
+-- Forum : Questions (https://n-pn.fr/forum/forumdisplay.php?fid=11)
+--- Forum : Security (https://n-pn.fr/forum/forumdisplay.php?fid=24)
+--- Sujet : [résolu] Reconnaissez-vous ce protocole ? (/showthread.php?tid=2388)
[résolu] Reconnaissez-vous ce protocole ? - b0fh - 11-11-2012
Hello,
J'essaie d'identifier un service réseau que nmap ne reconnait pas. Il tourne sur tcp/12345, sur une machine Linux. pour l'instant je n'ai observé que deux comportements différents: soit il ferme la connexion sans rien transmettre, soit il envoie ceci:
Code :
00000000 ff 00 0e 00 50 00 72 00 6f 00 74 00 6f 00 63 00 |....P.r.o.t.o.c.|
00000010 6f 00 6c 00 20 00 65 00 72 00 72 00 6f 00 72 |o.l. .e.r.r.o.r|Je suppose que le FF00 au début est une BOM UTF-16, et que le 0x0E qui suit correspond à la longueur du message envoyé.
EDIT: il semblerait plutot que le FF soit une marque, suivi par la longeur de la réponse codée sur 2 bytes (si j'envoie [FF {xx} {yy}] suivi de garbage, je reçois une protocol error après exactement 0x{xx}{yy} bytes de garbage.
Est-ce que quelqu'un a déja vu ça ? une idée de quel service ce pourrait être ?
EDIT: c'était un serveur minecraft. Merci pour vos efforts !
RE: Reconnaissez-vous ce protocole ? - sakiir - 11-11-2012
mmmh jamais vu ... tape le code ASII sur google ..
RE: Reconnaissez-vous ce protocole ? - Phobos - 23-11-2012
Je sais pas si ça peut aider mais quand plusieurs 00 se suivent c'est possible que le protocole raccourcisse par un seul 00
RE: Reconnaissez-vous ce protocole ? - supersnail - 23-11-2012
@Phobos: malheureusement ce n'est pas le cas ici (comme le dit b0fh, c'est plus de l'UTF-quelquechose, bref un tableau de wchar). Aucune idée d'où ça peut venir par contre.
RE: Reconnaissez-vous ce protocole ? - JulienetNel - 23-11-2012
Le Port 12345/TCP est utiliser souvent sur Windows comme backdoors par des trojans, si je ne dis pas de connerie. Je ne sais pas, néanmoins si c'est le cas sur Linux .
http://www.speedguide.net/port.php?port=12345
http://www.auditmypc.com/tcp-port-12345.asp
http://www.corrupteddatarecovery.com/Port/12345-Port-Type-tcp-NetBus.asp
Édit : Visiblement ce n'est pas le cas sur Gnu/linux :
http://www.linuxsa.org.au/pipermail/linuxsa/2000-September/019292.html
Le port 12345/TCP est peut être verrouiller pour éviter, justement qu'on y touche.
RE: Reconnaissez-vous ce protocole ? - b0fh - 23-11-2012
Le port n'est pas firewallé puisque j'arrive a m'y connecter et a communiquer avec. Et je suis quasiment certain que nmap est capable de reconnaitre NetBus.
RE: Reconnaissez-vous ce protocole ? - LR-6 - 23-11-2012
Et puis on est en 2012, personne n'utilise NetBus de nos jours.
RE: Reconnaissez-vous ce protocole ? - gruik - 24-11-2012
(11-11-2012, 03h50)b0fh a écrit : une idée de quel service ce pourrait être ?
si tu as un accès root à la machine l'option -p de netstat peut être ton ami
RE: Reconnaissez-vous ce protocole ? - InstinctHack - 24-11-2012
(24-11-2012, 18h01)gruik a écrit :(11-11-2012, 03h50)b0fh a écrit : une idée de quel service ce pourrait être ?
si tu as un accès root à la machine l'option -p de netstat peut être ton ami
j'imagine que si il l'avait, il n'aurais pas poster
RE: Reconnaissez-vous ce protocole ? - b0fh - 26-11-2012
Mystère élucidé: c'est un serveur minecraft.
le 0xFF est le code de kick (vu que le protocole est incorrect), et envoyer un unique byte 0xFE (server ping) renvoie le nom du serveur dans une string utf16.
RE: [résolu] Reconnaissez-vous ce protocole ? - ark - 26-11-2012
Ahah ^^'
On peut savoir comment tu l'as découvert ?
RE: [résolu] Reconnaissez-vous ce protocole ? - gruik - 26-11-2012
(26-11-2012, 16h22)b0fh a écrit :16:22:31 <+MacYavel> j'ai essayé de lui envoyer 0xfe a la place de 0xff, juste pour voir
16:22:40 <+MacYavel> coup de bol c'est le message "show server satus"
comme quoi des fois ça tient à peu de choses ^^