![[HaBo]](/styles/default/logoklein.png){kind=small}
Hey guys,
ich wollte zu Lernzwecken mal spaßeshalber ein Phishingtool analysieren. Das Tool, was ich mir vorgenommen habe, erfordert die Eingabe von Benutzername und Passwort zu einem Onlinegame und die Menge an Punkten der Ingamewährung, die man sich ercheaten will. Natürlich funktioniert das nicht, sondern dient dazu, den Usern das Passwort zu klauen.
Als erstes kam mir in den Sinn mit OllyDbg mal zu gucken, ob ich irgendwelche Strings auslesen kann. Da ich auf dem Gebiet des Decompilierens aber totalen Noob bin, bin ich schon daran gescheitert, die Datei überhaupt zu öffnen. Scheinbar ist das Tool irgendwie gegen Decompilieren geschützt.
Also zum interessanteren Teil für mich: Ich hab mir den Netzwerkverkehr mit Wireshark angeguckt. Offensichtlich schickt das Tool über smtp.google.com eine Mail. Das entnehme ich den DNS-Abfragen. Aber der Programmierer war klug genug, STARTTLS zu verwenden. Mir ist klar, dass ich zum direkten decrypten des Traffics den Private Key von Google bräuchte, den ich wohl eher nicht in die Finger bekomme
Wir haben in der Uni mal mit Ettercap rumgespielt. Über ARP-Spoofing Pakete mitgesnifft und sogar mit einem eigenen Zertifikat SSL faken können. Allerdings habe ich keine funktionierende Version von Ettercap mehr gefunden. Alle crashen beim Hosts Scannen oder Sniffen. Aber man muss diese Funktion von Ettercap doch auch irgendwie manuell nachstellen können.
Vorhanden sind Windows 7 und Ubuntu Desktops, ein geswitchtes LAN, sowie ein Debian Server.
Folgende Probleme habe ich aber nun:
PS: Das Tool, falls es wen interessiert: Free Cloud Storage - MediaFire
ich wollte zu Lernzwecken mal spaßeshalber ein Phishingtool analysieren. Das Tool, was ich mir vorgenommen habe, erfordert die Eingabe von Benutzername und Passwort zu einem Onlinegame und die Menge an Punkten der Ingamewährung, die man sich ercheaten will. Natürlich funktioniert das nicht, sondern dient dazu, den Usern das Passwort zu klauen.
Als erstes kam mir in den Sinn mit OllyDbg mal zu gucken, ob ich irgendwelche Strings auslesen kann. Da ich auf dem Gebiet des Decompilierens aber totalen Noob bin, bin ich schon daran gescheitert, die Datei überhaupt zu öffnen. Scheinbar ist das Tool irgendwie gegen Decompilieren geschützt.
Also zum interessanteren Teil für mich: Ich hab mir den Netzwerkverkehr mit Wireshark angeguckt. Offensichtlich schickt das Tool über smtp.google.com eine Mail. Das entnehme ich den DNS-Abfragen. Aber der Programmierer war klug genug, STARTTLS zu verwenden. Mir ist klar, dass ich zum direkten decrypten des Traffics den Private Key von Google bräuchte, den ich wohl eher nicht in die Finger bekomme
Wir haben in der Uni mal mit Ettercap rumgespielt. Über ARP-Spoofing Pakete mitgesnifft und sogar mit einem eigenen Zertifikat SSL faken können. Allerdings habe ich keine funktionierende Version von Ettercap mehr gefunden. Alle crashen beim Hosts Scannen oder Sniffen. Aber man muss diese Funktion von Ettercap doch auch irgendwie manuell nachstellen können.
Vorhanden sind Windows 7 und Ubuntu Desktops, ein geswitchtes LAN, sowie ein Debian Server.
Folgende Probleme habe ich aber nun:
- Wie kann ich quasi einen SSL Proxy realisieren, der mit meinem Zertifikat und meinem Private Key die Verbindung aufbaut und dann an Google weiterleitet?
- Wie kriege ich das Tool dazu, eben diesen Proxy zu verwenden, statt direkt zu smtp.google.com zu verbinden?
PS: Das Tool, falls es wen interessiert: Free Cloud Storage - MediaFire
Zuletzt bearbeitet:
