Discussion :

[sloshy]

Bonjour,
Dans un environnement de test, je suis parvenu � d�vier le trafic http d'une victime vers mon application python.
C'est beau, c'est fonctionnel, oui mais je ne sais pas comment lui r�pondre.
En effet, je vois la requete http qu'elle a envoyer � la passerelle mais je ne connais pas le port depuis lequel elle a envoyer cette requete et je ne sais donc pas lui r�pondre

Il semble �vidant qu'il faille analyser plus en profondeur le paquet, mais on arrive dans un domaine que je ne connais absolument pas.
J'aimerai donc avoir votre aide
(sachant que j'aimerai utiliser le moins de librairie non native possible)

d'avance merci.

[dahtah]

Salut,
Il faut d�sasembler le paquet. Le port se trouve dans l'en t�te TCP, l'@ IP dans l'en-t�te IP, l'@ MAC dans l'en t�te Ethernet. Il faut donc que tu d�sencapsule les paquets : [Ethernet[IP[tcp[http]]]].
Avec la biblioth�que standard, � part parser soi m�me le paquet, je pense pas qu'il y ai de module tout fait. En plus il faut tr�s bien conna�tre les protocoles (flag � lever, checksum...).
Scapy permet de faire ce genre de chose facilement, mais c'est une biblioth�que externe.
Si tu veux un peu de lecture sur le sujet, je te conseille le livre Security Poxer Tools, d'O'Rilley. Il est tr�s orient� pratique, et tr�s compr�hensible.

[sloshy]

merci de ta r�ponse.
Effectivement j'ai entendu parl� de scapy (et �a ne me d�range pas du tout de l'utiliser).
En revanche, j'ai un peu de mal � comprendre comment �a va se faire.
En effet moi mon serveur python actuel ne re�oit que des requetes http (et non un paquet complet) (du moins de ce que j'ai compris).

peux tu m'expliquer un peu plus en d�tail comment �a se passe?

[dahtah]

En fait, tu ne vois que ce que tu regardes. Si tu regardes tes paquets redirig�s avec wireshark, tu verras qu'il y a diff�rent niveau d'encpsulation. La partie http est encapsul� dans tcp, qui sert de couche de transport et d'�tablissement de liaison entre protocole : [tcp[http]]. Pour router ton traffic sur internet, il est n�cessaire d'utiliser IP qui rajoute une couche � l'onion : [IP[tcp[http]]].En suite, sur ton r�seau local, la d�livrance du paquet se fait via l'@ MAC inclu dans l'en-t�te Ethernet (encore une couche) : [Ethernet[IP[tcp[http]]]]. C'est �a qu'on appelle un paquet.
Toi ce que tu veux, c'est modifier le paquet http. Mais pour rerouter le paquet, tu dois r�ecrire les informations des plus basses couches.
Essai d'analyser les paquets qui t'int�resse avec wireshark. Tout deviendra clair.
Bon courage

[sloshy]

En ce moment, je ne vois juste pass� que la couche http pcq je regarde ce qui passe avec netcat c'est �a?
tu veux dire que lorsque ce sera mon application qui sera en �coute sur le port, le contenu re�u ce sera le paquet complet et non juste la couche http?

je pose trop de question, je ferai mieu d'essayer
je vais voir avec scapy, merci pour tes info en tout cas

[dahtah]

Effectivement, netcat ne te montre que la partie http, vu qu'il attend une connexion de niveau tcp.

En ce moment, je ne vois juste pass� que la couche http pcq je regarde ce qui passe avec netcat c'est �a?
tu veux dire que lorsque ce sera mon application qui sera en �coute sur le port, le contenu re�u ce sera le paquet complet et non juste la couche http?

Y'a un truc que je comprends pas. Je croyais que tu effectuais une attaque MITM sur le traffic web de ta victime. Dans ce cas, tu ne peux pas attendre une connexion venant de ta victime, celle-ci essaie de se connecter ailleur. Je m'explique : Ta victime effectue une requ�te http vers www.developpez.net dont l'adresse est :

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
 
nslookup www.developpez.com
 
Réponse ne faisant pas autorité :
Nom :    developpez.com
Address:  87.98.130.52
Aliases:  www.developpez.com

La connexion tcp tentera de se faire vers ce site 87.98.130.52.
Vu que tu es entre le routeur (192.168.1.254) de sortie et la victime (192.168.1.1), tu r�cup�res cette tentative de connexion, mais en aucun cas, la victime ne fera une tentative de connexion vers ton serveur (192.168.1.100 par exemple) (� moins que tu ne la force). Or netcat attend une connexion tcp entrante pour r�agir.
Bref, qu'elles sont les �tapes que tu effectues pour d�vier le traffic ? Normalement un simple arp spoofing, et une v�rification avec wireshark te dis si ton attaque � r�ussie. Tu devrais voir passer des paquets de la victime.
Une fois que les paquets transitent par ta passerelle, tu dois utiliser scapy. Scapy est un sniffer/forgeur de paquet c'est � dire qu'il te remonte tous les paquets passant par toi. Il n'y a donc pas besoin de connexion.

je pose trop de question, je ferai mieu d'essayer

T'inqui�tes, les forums sont faits pour �a. Ce que je te dis te semble sans doute tr�s th�orique, mais si tu mets les mains dedans tu vas vite comprendre.
Bon courage, n'h�sites pas si tu as d'autres questions.