RDot: White Hat Security Community

RDot: White Hat Security Community (https://rdot.org/forum/index.php)
-   Software development (https://rdot.org/forum/forumdisplay.php?f=19)
-   -   Сниффер / перехват запросов (https://rdot.org/forum/showthread.php?t=346)

mailbrush 18.07.2010 18:53

Сниффер / перехват запросов
 
Здравствуйте.

Каким образом / посредством чего можно написать такую программу:

Софт перехватывает все HTTP-запросы, и если в одном из них найдено определенное ключевое слово (н.п. "GET /showprofile.php"), то часть ответа от сервера должна заменится. Что именно и на что указываю я.

Если кто-то когда-то работал с такой программой, как Charles - нужно что-то наподобии функции Breakpoints.

Тоесть при определенном запросе можно изменить ответ.

ВАЖНО: без использования прокси-сервера, программа должна сама перехватывать и сама изменять ответ.

Вобщем, как сделать подобное?

W!z@rD 18.07.2010 19:01

http://www.xakep.ru/magazine/xa/082/110/1.asp

возможно поможет

mailbrush 18.07.2010 19:04

По этой ссылке указаны только два запроса.
О том, как их перехватить - ни слова.

p(eaZ 18.07.2010 19:46

Сам не сталкивался, но вот инфа в помощь:
ARP-spoofing
Man In The Middle
TCP-hijacking

mailbrush 18.07.2010 19:55

Немного не то.
Мне не нужно подобие спуфинга, когда я получаю пакеты, мне не принадлежащие.

Мне нужно написать софт, который на компьютере изменяет ответ, который передает сервер.
Допустим, я обращаюсь к http://yandex.ru любым из браузеров.
Программа должна перехватить этот запрос, а точнее ответ, изменить его, добавив строчку "Hello, world!".

Таким образом я получаю в браузере:

Hello world!
... тут страница Яндекса ...

Как реализовать такое БЕЗ использования прокси?

Dr.TRO 18.07.2010 20:00

Права админа/r0 (ну так или иначе драйвер) который бы ловил все :) а-ля тоже что и руткит, того же уровня...

Можно апи хукингом делать :) это если r3

refresh 19.07.2010 01:55

Насколько я понимаю ты хочешь что-бы было без проксирования из-за того, что это надо будет сделать скрытно. Но я сомневаюсь, что идея с драйвером будет скрытнее. А почему с проксей не вариант? На шлюзе завернуть весь трафик, сделать, так сказать, каскад проксей. будет прозрачно и не надо углубляться в ring 0 или API.

Dr.TRO 19.07.2010 10:28

драйвер эт очень паливно, да... только почему-то руткиты раньше на дровах писали :) ща ток некий авиры могут попалить :) а юзер - шансы ничтожно малы

refresh 19.07.2010 11:31

Цитата:

только почему-то руткиты раньше на дровах писали
я это где-то отрицаю?

имхо,можно с помощью Pcap попробовать.

mailbrush 19.07.2010 12:44

Насколько я знаю, для этого надо, чтобы WinPcap был установлен на целевой машине.
Все должно быть без лишних установок юзеру.

PS: Это не троян, а фишка для кое-какого сайта.


Часовой пояс GMT +3, время: 11:17.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot