Sniffer Gadu-Gadu w postaci dissectora do ettercapa

[michalszymanski]

Hej,

Ostatnio poczynilem dissectora do Ettercapa, ktory obsluguje Gadu-Gadu, rowniez w najnowszej wersji 7.x.

Dissector ma w zamierzeniu zastapic latke ggsniff dla dsniffa, ktorego nie da sie latwo skompilowac na nowszych systemach. Poza tym na chwile obecna jest to pierwszy sniffer, ktory obsluguje Gadu-Gadu w wersji 7.x.

A sniffer umie:
- obslugiwac protokol GG w wersjach 4.x-7.x
- przechwytywac wysylane i odbierane wiadomosci
- przechwytywac UINy, hashe (rowniez 160bitowe z nowego GG) i seedy podczas logowania
- powiadamiac o zmianach statusow wlacznie z opisami
- pokazywac adres IP klienta/serwera (ze sniffingu i pol local/remote ip pakietow GG)
- pokazywac wersje uzywanego klienta GG

Do sciagniecia z http://ettercap-gg.sourceforge.net/

Oczywiscie dissector dziala na wszystkich platformach, na ktorych dziala ettercap, czyli Linuksy, *BSD, Windowsy i MacOSX. Ale ostrzegam, ze pod Windowsa nie przygotowalem jeszcze binarki i nalezy samemu skompilowac.

Pozdrawiam,

Michal Szymanski

PRZYKLADOWA SESJA z wersji 0.2 ponizej:

ARP poisoning victims:

GROUP 1 : 10.10.10.11 00:01:20:02:34:21

GROUP 2 : 10.10.10.1 00:0A:848:28:F5

Starting Unified sniffing...

Text only Interface activated...
Hit 'h' for inline help

GG : 217.17.45.143:443 -> 10.10.10.11:1696 - WELCOME SEED: 0xAD130562 (2903704930)
GG7 : 10.10.10.11:1696 -> 217.17.45.143:443 - LOGIN UIN: 5114529 PWD_HASH: 0x21D13E38992A341DD33BB52DDFA2382A173A5361 STATUS: (invisible + private) VERS
ION: 7.7 LIP: 10.10.10.11:1550 RIP: 0.0.0.0:0
GG : 10.10.10.11:1706 -> 217.17.45.143:443 - SEND_MSG RECIPIENT: 7244283 MESSAGE: "wiadomosc testowa"
GG : 217.17.45.143:443 -> 10.10.10.11:1706 - RECV_MSG SENDER: 7244283 MESSAGE: "dzieki za wiadomosc"
GG7 : 217.17.45.143:443 -> 10.10.10.11:1706 - STATUS CHANGED UIN: 7244283 STATUS: a swistak siedzi i zawija (busy + descr) VERSION: 7.6 RIP: 207.46.19.19
0:1550

GG : 217.17.41.85:8074 -> 10.10.10.11:1685 - WELCOME SEED: 0x1D66B45F (493270111)
GG4/5 : 10.10.10.11:1685 -> 217.17.41.85:8074 - LOGIN UIN: 5114529 PWD_HASH: 0x1B85493D (461719869) STATUS: zaraz weekend (invisible + descr + private) VERSION:
4.8 + has audio LIP: 10.10.10.11:1550
GG : 217.17.41.85:8074 -> 10.10.10.11:1685 - STATUS CHANGED UIN: 2688291 STATUS: i co ja bede robil przez te 4 dni ... (not available + descr)
GG : 10.10.10.11:1685 -> 217.17.41.85:8074 - NEW STATUS STATUS: goraaaaaaaaaaaaaco!!!!!!!!! (busy + descr + private)

[TQM]

GRATULACJE Michal!

Przejrzalem na razie 'po lebkach' tylko i chyle glowe...

[ezaris]

Jak mam to odpalic po zainstalowaniu? Chciałem przetestować
Zainstalowałem ale niewiem co dalej. Możecie podpowiedzieć?

[eryk]

Odpal tak w konsoli

Kod:

ettercap -T

i bedie przechwytywal wszystko miedzy innymi GG

add: a tak wogle to fajny ten patch (dobra robota:P)

EDIT:Tak ciezko uzyc takiej komendy:

Kod:

ettercap --help

i masz liste komend z opisem do czego sluzy

EDIT 2: straszny syf sie w konsoli robi:P dla lepszego pozadku mozesz uzyc :

Kod:

ettercap -T -q

pozdrawiam

[Kimas]

no no, fajna sprawa i nawet dziala ukłon w Twoją strone

[rizyl]

to dziala w lanie czy w calej sieci internet?

[TQM]

Nie - nie dziala... Aby dzialalo trzeba wyslac do ofiary golebiem pocztowym...

Czy zanim zadales pytanie, zastanowiles sie co to jest w ogole? Czy rozumiesz do czego to sluzy, jak i dlaczego w ogole dziala?!

Temat zamykam bo to na prawde nie ma sensu