klpp
2001-09-15, 12:23 AM
這是一個程式對internet 主機id/pw認證的封包資料,tcp的檔頭也包在裡面,
其中id=00000000 pw=00000000
不知是怎樣的編碼方式,讓每次的資料都不同(相同的id/pw)?
從第54個byte開始,似乎是一個認證開始的宣告 19
但不同的id/pw 登入則19會變動,
無論是什麼id/pw登入,第55個byte固定是00,
而第56~66個(共11個byte)是固定長度,但內容均不相同
使用不同的id/pw其長度固定,但資料亦每次不同
而第67,68,69,70,71 (共5個byte)在這組id/pw中資料均相同,推測可
能是加密用的key值,使用不同的id/pw該5組byte資料均相同,但與此組的值不同
至於尾7個byte則完全不同,隨著id/pw長度的不同,其byte數亦會增減~
相信與id/pw的長度有關~~
監視軟體在啟動後未收到封包,當送出之後僅收到三個標準的tcp封包(syn/ack)
因為是錯誤的id/pw.,所以不會再有封包往來,程式等待再次送出id/pw
所以初步判斷有關id/pw的編碼及鍵值均在此封的的資料內
(因應回應錯誤的封包tcp檔頭僅port不同,其[data]均相同,故判斷鍵值並非在其他
封包送出)
希望各位先進能教小弟如何解開~~~就算有魚吃,還是希望學會釣魚....
謝謝各位了 ^^
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 02 5C | 40 00 80 06 | 11 A2 C0 A8 | 01 21 D2 D0 [.A.\@........!..]
* 52 1F 04 C3 | 07 D0 00 87 | A9 90 8C BA | 80 CE 50 18 [R.............P.]
* 20 AD F8 ED | 00 00 19 00 | 30 3F 14 2A | BB E7 83 34 [ .......0?.*...4]
* 35 0A 21 1F | 8E D2 B6 01 | 00 0F 14 DA | D3 BE CB [5.!............]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 11 5C | 40 00 80 06 | 02 A2 C0 A8 | 01 21 D2 D0 [.A.\@........!..]
* 52 1F 04 C5 | 07 D0 00 88 | F0 E0 8E 57 | 03 CB 50 18 [R..........W..P.]
* 20 AD B4 9F | 00 00 19 00 | D7 DE 84 BB | 2A 76 12 A5 [ ...........*v..]
* 43 7A 20 1F | 8E D2 B6 01 | E7 EE 84 4B | 42 2F 5A [Cz ........KB/Z]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 1D 5C | 40 00 80 06 | F6 A1 C0 A8 | 01 21 D2 D0 [.A.\@........!..]
* 52 1F 04 C7 | 07 D0 00 89 | 70 ED 8E F9 | 9A 75 50 18 [R.......p....uP.]
* 20 AD 25 0A | 00 00 19 00 | 87 AD C9 D6 | 47 1B 7F C8 [ .%.........G..]
* 7E 64 00 1F | 8E D2 B6 01 | B7 9D C9 26 | 2F 42 37 [~d.........&/B7]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 29 5C | 40 00 80 06 | EA A1 C0 A8 | 01 21 D2 D0 [.A)\@........!..]
* 52 1F 04 C9 | 07 D0 00 89 | F6 E9 8F A7 | 54 E5 50 18 [R...........T.P.]
* 20 AD 4D D0 | 00 00 19 00 | DE 79 48 6A | FB A7 C3 74 [ .M......yHj...t]
* 9B 0C 3D 1F | 8E D2 B6 01 | EE 49 48 9A | 93 FE 8B [..=......IH....]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 2B 5C | 40 00 80 06 | E8 A1 C0 A8 | 01 21 D2 D0 [.A+\@........!..]
* 52 1F 04 C9 | 07 D0 00 89 | F7 02 8F A7 | 54 EF 50 18 [R...........T.P.]
* 20 A3 EE 2D | 00 00 19 00 | F7 50 61 43 | D2 8E EA 5D [ ..-.....PaC...]]
* 9B 0C 3D 1F | 8E D2 B6 01 | C7 60 61 B3 | BA D7 A2 [..=......`a....]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 2D 5C | 40 00 80 06 | E6 A1 C0 A8 | 01 21 D2 D0 [.A-\@........!..]
* 52 1F 04 C9 | 07 D0 00 89 | F7 1B 8F A7 | 54 F9 50 18 [R...........T.P.]
* 20 99 33 04 | 00 00 19 00 | 0C A4 95 B7 | 26 7A 1E A9 [ .3.........&z..]
* 94 0C 3D 1F | 8E D2 B6 01 | 3C 94 95 47 | 4E 23 56 [..=.....<..GN#V]
其中id=00000000 pw=00000000
不知是怎樣的編碼方式,讓每次的資料都不同(相同的id/pw)?
從第54個byte開始,似乎是一個認證開始的宣告 19
但不同的id/pw 登入則19會變動,
無論是什麼id/pw登入,第55個byte固定是00,
而第56~66個(共11個byte)是固定長度,但內容均不相同
使用不同的id/pw其長度固定,但資料亦每次不同
而第67,68,69,70,71 (共5個byte)在這組id/pw中資料均相同,推測可
能是加密用的key值,使用不同的id/pw該5組byte資料均相同,但與此組的值不同
至於尾7個byte則完全不同,隨著id/pw長度的不同,其byte數亦會增減~
相信與id/pw的長度有關~~
監視軟體在啟動後未收到封包,當送出之後僅收到三個標準的tcp封包(syn/ack)
因為是錯誤的id/pw.,所以不會再有封包往來,程式等待再次送出id/pw
所以初步判斷有關id/pw的編碼及鍵值均在此封的的資料內
(因應回應錯誤的封包tcp檔頭僅port不同,其[data]均相同,故判斷鍵值並非在其他
封包送出)
希望各位先進能教小弟如何解開~~~就算有魚吃,還是希望學會釣魚....
謝謝各位了 ^^
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 02 5C | 40 00 80 06 | 11 A2 C0 A8 | 01 21 D2 D0 [.A.\@........!..]
* 52 1F 04 C3 | 07 D0 00 87 | A9 90 8C BA | 80 CE 50 18 [R.............P.]
* 20 AD F8 ED | 00 00 19 00 | 30 3F 14 2A | BB E7 83 34 [ .......0?.*...4]
* 35 0A 21 1F | 8E D2 B6 01 | 00 0F 14 DA | D3 BE CB [5.!............]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 11 5C | 40 00 80 06 | 02 A2 C0 A8 | 01 21 D2 D0 [.A.\@........!..]
* 52 1F 04 C5 | 07 D0 00 88 | F0 E0 8E 57 | 03 CB 50 18 [R..........W..P.]
* 20 AD B4 9F | 00 00 19 00 | D7 DE 84 BB | 2A 76 12 A5 [ ...........*v..]
* 43 7A 20 1F | 8E D2 B6 01 | E7 EE 84 4B | 42 2F 5A [Cz ........KB/Z]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 1D 5C | 40 00 80 06 | F6 A1 C0 A8 | 01 21 D2 D0 [.A.\@........!..]
* 52 1F 04 C7 | 07 D0 00 89 | 70 ED 8E F9 | 9A 75 50 18 [R.......p....uP.]
* 20 AD 25 0A | 00 00 19 00 | 87 AD C9 D6 | 47 1B 7F C8 [ .%.........G..]
* 7E 64 00 1F | 8E D2 B6 01 | B7 9D C9 26 | 2F 42 37 [~d.........&/B7]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 29 5C | 40 00 80 06 | EA A1 C0 A8 | 01 21 D2 D0 [.A)\@........!..]
* 52 1F 04 C9 | 07 D0 00 89 | F6 E9 8F A7 | 54 E5 50 18 [R...........T.P.]
* 20 AD 4D D0 | 00 00 19 00 | DE 79 48 6A | FB A7 C3 74 [ .M......yHj...t]
* 9B 0C 3D 1F | 8E D2 B6 01 | EE 49 48 9A | 93 FE 8B [..=......IH....]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 2B 5C | 40 00 80 06 | E8 A1 C0 A8 | 01 21 D2 D0 [.A+\@........!..]
* 52 1F 04 C9 | 07 D0 00 89 | F7 02 8F A7 | 54 EF 50 18 [R...........T.P.]
* 20 A3 EE 2D | 00 00 19 00 | F7 50 61 43 | D2 8E EA 5D [ ..-.....PaC...]]
* 9B 0C 3D 1F | 8E D2 B6 01 | C7 60 61 B3 | BA D7 A2 [..=......`a....]
----- Data ----- [54-78]
[25 byte(s) of data]
==========================================================================
* 00 A0 C5 16 | 49 4C 00 60 | 67 75 FF D0 | 08 00 45 00 [....IL.`gu....E.]
* 00 41 2D 5C | 40 00 80 06 | E6 A1 C0 A8 | 01 21 D2 D0 [.A-\@........!..]
* 52 1F 04 C9 | 07 D0 00 89 | F7 1B 8F A7 | 54 F9 50 18 [R...........T.P.]
* 20 99 33 04 | 00 00 19 00 | 0C A4 95 B7 | 26 7A 1E A9 [ .3.........&z..]
* 94 0C 3D 1F | 8E D2 B6 01 | 3C 94 95 47 | 4E 23 56 [..=.....<..GN#V]