PDA

View Full Version : Aufklärung über die Sicherheit der Container + DLC Sniffen TUT



shoulder
19.05.08, 23:33
Hi,


ihr kennt doch die "sicheren" Containerformate, welche die Uploader gerne benutzen um ihre Uploads zu "schützen".

Ich zeige euch jetzt mal wie "sicher" Sie wirklich sind, und wie man an die Links aus RSDF, CCF und sogar DLC Containern kommt.


------------------------------------------------------------------------------------------------------------------



http://img3.imagebanana.com/img/n5lvqtdg/rsdf.jpg

http://img3.imagebanana.com/img/b74ql3az/ccf.jpg



Fangen wir mit RSDF und CCF an:

Sie basieren beide auf einer simplen Verschlüsselung mit einem Algorithmus.
Da es zu der Zeit der Entstehung von RSDF und CCF noch keinen jD gab, konnten User, welche ein anderes OS als Windows nutzten, die per RSDF oder CCF "gesicherten" Downloads nicht nutzen.
Dadurch wurde von einem User der nur Linux und Mac nutzt der Algorithmus von RSDF untersucht.
Mit seiner Hilfe wurde er geknackt und man konnte RSDF Files entschlüsseln.

Der Public Key für RSDF ist :

8C 35 19 2D 96 4D C3 18 2C 6F 84 F3 25 22 39 EB 4A 32 0D 25


Der Algorithmus von CCF ist hingegen nicht bekannt.
Mit dem Erscheinen der CCF2RSDF.exe waren die CCF Container dann aber auch kein Problem mehr.

Da das Entschlüsseln für einen normalen User aber auch mit dem Public Key nicht möglich war, wurden diverse Decrypter programmiert, die es auch dem normalen User möglich machen die RSDF & CCF Container zu Decrypten.

http://img3.imagebanana.com/img/jr1y5ry/Untitled2.jpg

http://img3.imagebanana.com/img/c03y3c7i/Untitled3.jpg

http://img3.imagebanana.com/img/seajv6lt/Untitled.jpg


Da ich die Petzen nicht unterstützen möchte, gibt es vorerst keine Links zu den Decryptern!
VIELLEICHT poste ich sie zu einem späteren Zeitpunkt.





http://img3.imagebanana.com/img/ioc47qcd/dlc.jpg


Nun zu DLC:

Die Funktionsweise von DLC ist etwas anders. Bei dem Erstellen einer DLC werden die Links mit einem zufallsgenerierten Key verschlüsselt. Dieser Key wird an den DLC Server geschickt, wo er mit einem Masterkey, welcher nur auf dem DLC Server liegt, verschlüsselt wird, und dann zurück gesendet. Der verschlüsselte Key wird nun mit in den DLC geschrieben.
Läd man nun die DLC, sendet der Client eine Anfrage an den Server den Key für ihn zu entschlüsseln.
Der Server entschlüsselt den Key mit dem Masterkey und verschlüsselt ihn dann wieder mit dem Clientkey des Clients welcher ihn angefragt hat. Der mit dem Clientkey verschlüsselte Key wird an den Client zurück gesendet, welcher ihn nun decrypten kann und die Links laden.
Jeder Client hat einen eigenen Clientkey, sprich jD hat einen anderen als MSD.

DAS ist genau die Schwierigkeit bei DLC. Wird in einem Client eine Schwachstelle entdeckt um DLC zu decrypten, wird dieser Client einfach vom DLC Server gesperrt und kann somit die Links der DLC nicht mehr decrypten.

------------------------------------------------------------------------------------------------------------------

Es gibt aber eine Möglichkeit an die Links zu kommen, das Sniffen!

Ich zeige euch nun wie das funktioniert.


Warum braucht man 50 Beiträge?
-Weil ich keine Petzen unterstütze und darum nicht möchte, dass jeder einfach so das Tutorial sehen kann.
Ausserdem sind 50 Beiträge ja auch keine wirklich hohe Anforderung. :wink:


Was brauchen wir dafür?


einen Sniffer (Ich nutze Wireshark, da Freeware und sehr viele Einstellungsmöglichkeiten)
einen Downloader mit DLC Support (ich nehme jD)
einen DLC Container
etwas Zeit und Handarbeit




So, fangen wir an!


Zuerst installiert ihr Wireshark oder nutzt eine portable Version.
Nun startet ihr ihn, das Fenster müsste dann so aussehen:

http://img3.imagebanana.com/img/446b9/wiresharkstart.jpg

Nun gehen wir ins Interfacemenü, entweder über das Symbol ganz links oder über den Reiter Capture --> Interfaces.

http://img3.imagebanana.com/img/7thw3bav/wiresharkinterfaces.jpg

Hier klickt ihr bei eurer Internetverbindung auf „Start“.
In meinem Fall wäre das das erste, AVM FRITZ!WLAN USB STICK.

Nun seht ihr wieder das Hauptfenster, nur werden dort jetzt ALLE Internetverbindung protokolliert.

http://img3.imagebanana.com/img/bwqvm3xl/wiresharkstarted.jpg

So, wir minimieren Wireshark nun und starten jD und laden einen DLC Container.
Ob er unverschlüsselte Links oder z.B. mit Secured verschlüsselte Links enthält ist völlig egal.

http://img3.imagebanana.com/img/lcmt0ms/jddlcladen.jpg

Wenn die Links entschlüsselt wurden und ihr das/die Pakete akzeptiert habt sieht das so aus.

http://img3.imagebanana.com/img/mfjtg0nh/jdlinksloaded.jpg

Nun müssen wir jeden Link „anladen“, dazu stellt ihr am besten auf Handeingabe und den reconnect deaktivieren.
Es reicht schon wenn nur die Captcha Abfrage kommt.

http://img3.imagebanana.com/img/ggdmd15u/jdcaptchaabfrage.jpg

Einfach einen falschen Code eingaben, und dann den Download anhalten. Nun den Link entfernen und den nächsten „anladen“. Das müsst ihr mit allen Links aus dem DLC Container machen!
Es kann auch dieses Fenster kommen, das ist auch völlig egal.

http://img3.imagebanana.com/img/bfs75vwm/jdwrongcaptchas.jpg

Wenn ihr "Glück" habt werdet ihr als Bot erkannt, dann "läd" jD nämlich ein paar Links, zum Teil auch alle, automatisch an, was diese Prozedur extrem verkürzt.

In der HappyHour müsst ihr halt immer Download starten, Download stoppen , Link löschen und mit dem nächsten Fortfahren, und gegebenenfalls reconnecten.

Habt ihr eine Premiumaccount könnt ihr auch alle Links anladen lassen, dies ist natürlich die schnellste Methode.

http://img3.imagebanana.com/img/37qyj7nc/anladen.jpg
(Bild nur für User mit Premiumaccount)

Wenn ihr alle Links durchhabt könnt ihr den jD schliessen.

Holt nun wieder das Wireshark Fenster „hervor“.
Die Links findet ihr nun unter „Info“ im oberen Fenster.

http://img3.imagebanana.com/img/oawwtr81/wiresharkauswertung.jpg

Das alles abzusuchen ist sehr mühsam, wenn im Hintergrund ein Torrenclient mitläuft, gar unmöglich wegen den vielen Verbindungen.
Doch man kann mit einem Anzeigefilter bestimmte Verbindungen „heraussuchen“.

Zuerst einmal müssen wir aber wissen wonach wir suchen.
Da man normal mit einem Browser von Rapidshare lädt ist das Protokoll sehr wahrscheinlich HTTP.
Da WIR den Link an Rapidshare senden, ist es eine POST Übertragung.
Hätten wir als Filter also schon einmal:

http.request.method == "POST"

Dieser Filtert alle Aufrufe, die eine POST Übertragung sind.
Davon gibt es aber genügend also brauchen wir noch eine Ergänzung, die nicht viele Links aber ALLE Rapidshare Links enthalten.
Wenn man sich mehrer Rapidshare Link ansieht, bemerkt man, dass ALLE

/files/

enthalten.
(„http://www.rapidshare.com" kann man nicht nehmen, da es eine Domain und keine „Linkergänzung“ (URI) ist)

Kombiniert man nun beide Filter ergeben sie:

http.request.method == "POST" and http.request.uri contains "/files/"

(bei dem zweiten Teil „contains“ statt ==, da ja nach Ergebnissen gesucht wird die unteranderem /files/ enthalten, und nicht ausschliesslich.)

(Die Ableitung dieses Filters müsst ihr nicht verstehen, ich wollt sie nur der Vollständigkeit halber erklären.)

Ihr müsst nur den Filter kennen!

Diesen tragt ihr in Wireshark oben links neben „Filter“ ein und klickt aus „Apply“.

http://img3.imagebanana.com/img/4wttrbkt/wiresharkfiltern.jpg

Danach habt könnt ihr unter „Info“ die URI ablesen.
Es kann vorkommen, dass sich 2 oder mehrere identische in der List befinden, das kommt darauf an, wie oft ein Link an Rapidshare gesendet wurde.
Es werden zu einer Datei unter Umständen 2 verschiedene Links angezeigt (/files/1263012836/1231723/Beispiel.rar und files/1263012836/Beispiel.rar), nehmt hier nur den Link mit einer Zahlenkombination, der andere führt im Endeffekt zur gleichen Seite/Datei.

http://img3.imagebanana.com/img/r1e0lvft/wiresharkrslinks.jpg

Damit ihr die Links nicht abtippen müsst, könnt ihr im mittleren Feld auf das Plus vor

Hypertext Transfer Protocol

klicken, danach auf das Plus vor

POST …

Dann macht ihr einen Rechtsklick auf

Request URI

Und wählt dann

copy --> Bytes (Printable Text Only)

Dann habt ihr die URI (/files/…) in die Zwischenablage kopiert.
Nun könnt ihr Sie beispielsweise in eine Textdatei kopieren. (Das "www.rapidshare.com" müsst ihr von Hand tippen)
Auch hier gilt, ihr müsst das mit allen Links einzeln machen, wenn ihr alle haben wollt.

http://img3.imagebanana.com/img/hg51j3me/wiresharkcopyurl.jpg



Das war’s!
Ich weiß, dass es aufwendiger wie ein einfacher Decrypter ist, aber das TUT ist für die, die einfach mal wissen wollten wie man DLC Container snifft.
Das ganze wird auch in Zukunft funktionieren, da HTTP grundsätzlich unverschlüsselt ablauft und lässt sich natürlich auch auf andere Containerformate anwenden.

Dagon
20.05.08, 02:26
ersters ist kein problem, da realtiv einfach, wer sich jedoch bei letzterem die Mühe macht ist blöd weil zu viel Arbeit. Schließlich geht es nur darum, das man über ein anderen Programm wie Flashget oder Getright stattdessen ziehen kann.

Ich verstehe das reporten eh nicht, glaube da ist entweder welchen langweilig oder die bekommen geld dafür.

Mfg Dagon

shoulder
20.05.08, 02:46
Ersteres richtet sich an User die denken ihre Uploads währen sicher, nur weil sie sie nur per RSDF oder CCF anbieten.

Und das TUT richtet sich an User, die die Funktionsweise des Sniffens (in diesem Fall von DLC gesicherten Links) mal gezeigt haben wollen.
Wie ich ja am Ende geschrieben hab ist es umständlich. Deshalb sehe ich dieses TUT auch mehr als eine Art Erklärung.


Ich verstehe das reporten eh nicht, glaube da ist entweder welchen langweilig oder die bekommen geld dafür.

Ich denke, aus Langeweile petzt sicher keiner Links, da gibt es spannendere Arten seine Zeit zu vertreiben.
Geld ist der Grund für solche Aktionen, Stichwort ProMedia.
Auch ist es ein offenes Geheimnis, dass sich die punktegeilen Upper aus einem bestimmten und sehr großen Board gegenseitig die Uploads verpetzen, nur um selbst mehr Punkte zu bekommen.

Dagon
20.05.08, 11:30
Ich denke, aus Langeweile petzt sicher keiner Links, da gibt es spannendere Arten seine Zeit zu vertreiben.
Geld ist der Grund für solches Aktionen, Stichwort ProMedia.

auch, aber hab auf einigen Seiten gelesen, das besonders während der Ferienzeiten viel verpetzt wird. Denke da haben Kiddys langeweile und machen sowas.


Auch ist es ein offenes Geheimnis, dass sich die punktegeilen Upper aus einem bestimmten und sehr großen Board gegenseitig die Uploads verpetzen, nur um selbst mehr Punkte zu bekommen.

weiß zwar nicht welches Board du meinst, aber das ist mir bekannt, das einige das machen. Finde sowas Schwachsinn, weil ist unfair anderen gegenüber.

Mfg Dagon

shoulder
23.06.08, 10:37
Kleines Update!

Da der RSD nun auch DLC Support hat gibt es einen schnelleren Weg die Links aus DLC zu sniffen.

Ihr müsst die Option "Dateigröße beim hinzufügen prüfen" aktivieren.

http://img3.imagebanana.com/img/7t5etkw7/untitled.jpg

In die Suchmaske von Wireshark müsst ihr nun

http.request.method == "GET" and http.request.uri contains "/files/"

eingeben.

Dadurch dass RSD beim prüfen die Links aufruft müsst ihr nicht jeden Link einzeln anladen, sondern nur noch die gesnifften Links kopieren.

Bei zuvielen Links bekommt ihr eine IP Sperre von RapidShare, also nur bei DLC Containern mit weniger als 60-70 Links verwenden!

shoulder
29.06.08, 17:37
Diese Möglichkeit (http://www.sb-innovation.de/f108/aufkl-rung-ber-die-sicherheit-der-container-dlc-sniffen-tut-3613/#post28359) funktioniert NICHT mehr!

Der DLC Support des RSD wurde vom DLC Server deaktiviert bis diese Lücke gefixed wird.

AcidBurns
10.09.08, 13:32
Ich denke, aus Langeweile petzt sicher keiner Links, da gibt es spannendere Arten seine Zeit zu vertreiben

ich erinnere mich an die Abuse-Crew.. die hat der hp wo ich bin ziemlich zugesetzt...

und rsdf und ccf sind unsicher, aber dafür ein guter kompromiss zwischen serverlast (jeden link einzeln anklicken) und benutzerfreundlichkeit bzw sicherheit der upps...

auf meiner hp dürfen keine links per linksave etc ppp angeboten werde

Sido89
31.01.09, 23:08
also ich hoffe nur das das Team von JDownloader schnellstens das neue DLC 2 fertig entwickeln =)

weil das ist echt unfair,da lädt man eine Staffel von 12 GB und dann wird sie abused =(

shoulder
31.01.09, 23:49
Und das neue DLC v2 bringt genauso wenig etwas gegen Sniffen. :wink2:

blub
01.06.09, 19:27
klar siniffen ist eine moegichkeint, aber wohl extrem aufwaenig.
einfach jdownloader die arbeit machen lassen, und sich dann die
encodeten urls mit nem println an passender stelle ausgeben lassen ist um einiges einfcher...
ok ein paar java kenntisse solle man vllt. mitbringen...

over and out

kurzweil
25.01.10, 15:42
dann empfehle ich :

die javakenntnisse mit diesem beginnend aufzufrischen.
PrintWriter (Java 2 Platform SE v1.4.2) (http://java.sun.com/j2se/1.4.2/docs/api/java/io/PrintWriter.html)

DEViL.eXE
17.12.10, 14:59
Gibt es auch eine andere Alternative um DLC's schneller zu decrypten ?