shoulder
19.05.08, 22:33
Hi,
ihr kennt doch die "sicheren" Containerformate, welche die Uploader gerne benutzen um ihre Uploads zu "schützen".
Ich zeige euch jetzt mal wie "sicher" Sie wirklich sind, und wie man an die Links aus RSDF, CCF und sogar DLC Containern kommt.
------------------------------------------------------------------------------------------------------------------
http://img3.imagebanana.com/img/n5lvqtdg/rsdf.jpg
http://img3.imagebanana.com/img/b74ql3az/ccf.jpg
Fangen wir mit RSDF und CCF an:
Sie basieren beide auf einer simplen Verschlüsselung mit einem Algorithmus.
Da es zu der Zeit der Entstehung von RSDF und CCF noch keinen jD gab, konnten User, welche ein anderes OS als Windows nutzten, die per RSDF oder CCF "gesicherten" Downloads nicht nutzen.
Dadurch wurde von einem User der nur Linux und Mac nutzt der Algorithmus von RSDF untersucht.
Mit seiner Hilfe wurde er geknackt und man konnte RSDF Files entschlüsseln.
Der Public Key für RSDF ist :
8C 35 19 2D 96 4D C3 18 2C 6F 84 F3 25 22 39 EB 4A 32 0D 25
Der Algorithmus von CCF ist hingegen nicht bekannt.
Mit dem Erscheinen der CCF2RSDF.exe waren die CCF Container dann aber auch kein Problem mehr.
Da das Entschlüsseln für einen normalen User aber auch mit dem Public Key nicht möglich war, wurden diverse Decrypter programmiert, die es auch dem normalen User möglich machen die RSDF & CCF Container zu Decrypten.
http://img3.imagebanana.com/img/jr1y5ry/Untitled2.jpg
http://img3.imagebanana.com/img/c03y3c7i/Untitled3.jpg
http://img3.imagebanana.com/img/seajv6lt/Untitled.jpg
Da ich die Petzen nicht unterstützen möchte, gibt es vorerst keine Links zu den Decryptern!
VIELLEICHT poste ich sie zu einem späteren Zeitpunkt.
http://img3.imagebanana.com/img/ioc47qcd/dlc.jpg
Nun zu DLC:
Die Funktionsweise von DLC ist etwas anders. Bei dem Erstellen einer DLC werden die Links mit einem zufallsgenerierten Key verschlüsselt. Dieser Key wird an den DLC Server geschickt, wo er mit einem Masterkey, welcher nur auf dem DLC Server liegt, verschlüsselt wird, und dann zurück gesendet. Der verschlüsselte Key wird nun mit in den DLC geschrieben.
Läd man nun die DLC, sendet der Client eine Anfrage an den Server den Key für ihn zu entschlüsseln.
Der Server entschlüsselt den Key mit dem Masterkey und verschlüsselt ihn dann wieder mit dem Clientkey des Clients welcher ihn angefragt hat. Der mit dem Clientkey verschlüsselte Key wird an den Client zurück gesendet, welcher ihn nun decrypten kann und die Links laden.
Jeder Client hat einen eigenen Clientkey, sprich jD hat einen anderen als MSD.
DAS ist genau die Schwierigkeit bei DLC. Wird in einem Client eine Schwachstelle entdeckt um DLC zu decrypten, wird dieser Client einfach vom DLC Server gesperrt und kann somit die Links der DLC nicht mehr decrypten.
------------------------------------------------------------------------------------------------------------------
Es gibt aber eine Möglichkeit an die Links zu kommen, das Sniffen!
Ich zeige euch nun wie das funktioniert.
Warum braucht man 50 Beiträge?
-Weil ich keine Petzen unterstütze und darum nicht möchte, dass jeder einfach so das Tutorial sehen kann.
Ausserdem sind 50 Beiträge ja auch keine wirklich hohe Anforderung. :wink:
Was brauchen wir dafür?
einen Sniffer (Ich nutze Wireshark, da Freeware und sehr viele Einstellungsmöglichkeiten)
einen Downloader mit DLC Support (ich nehme jD)
einen DLC Container
etwas Zeit und Handarbeit
So, fangen wir an!
Zuerst installiert ihr Wireshark oder nutzt eine portable Version.
Nun startet ihr ihn, das Fenster müsste dann so aussehen:
http://img3.imagebanana.com/img/446b9/wiresharkstart.jpg
Nun gehen wir ins Interfacemenü, entweder über das Symbol ganz links oder über den Reiter Capture --> Interfaces.
http://img3.imagebanana.com/img/7thw3bav/wiresharkinterfaces.jpg
Hier klickt ihr bei eurer Internetverbindung auf „Start“.
In meinem Fall wäre das das erste, AVM FRITZ!WLAN USB STICK.
Nun seht ihr wieder das Hauptfenster, nur werden dort jetzt ALLE Internetverbindung protokolliert.
http://img3.imagebanana.com/img/bwqvm3xl/wiresharkstarted.jpg
So, wir minimieren Wireshark nun und starten jD und laden einen DLC Container.
Ob er unverschlüsselte Links oder z.B. mit Secured verschlüsselte Links enthält ist völlig egal.
http://img3.imagebanana.com/img/lcmt0ms/jddlcladen.jpg
Wenn die Links entschlüsselt wurden und ihr das/die Pakete akzeptiert habt sieht das so aus.
http://img3.imagebanana.com/img/mfjtg0nh/jdlinksloaded.jpg
Nun müssen wir jeden Link „anladen“, dazu stellt ihr am besten auf Handeingabe und den reconnect deaktivieren.
Es reicht schon wenn nur die Captcha Abfrage kommt.
http://img3.imagebanana.com/img/ggdmd15u/jdcaptchaabfrage.jpg
Einfach einen falschen Code eingaben, und dann den Download anhalten. Nun den Link entfernen und den nächsten „anladen“. Das müsst ihr mit allen Links aus dem DLC Container machen!
Es kann auch dieses Fenster kommen, das ist auch völlig egal.
http://img3.imagebanana.com/img/bfs75vwm/jdwrongcaptchas.jpg
Wenn ihr "Glück" habt werdet ihr als Bot erkannt, dann "läd" jD nämlich ein paar Links, zum Teil auch alle, automatisch an, was diese Prozedur extrem verkürzt.
In der HappyHour müsst ihr halt immer Download starten, Download stoppen , Link löschen und mit dem nächsten Fortfahren, und gegebenenfalls reconnecten.
Habt ihr eine Premiumaccount könnt ihr auch alle Links anladen lassen, dies ist natürlich die schnellste Methode.
http://img3.imagebanana.com/img/37qyj7nc/anladen.jpg
(Bild nur für User mit Premiumaccount)
Wenn ihr alle Links durchhabt könnt ihr den jD schliessen.
Holt nun wieder das Wireshark Fenster „hervor“.
Die Links findet ihr nun unter „Info“ im oberen Fenster.
http://img3.imagebanana.com/img/oawwtr81/wiresharkauswertung.jpg
Das alles abzusuchen ist sehr mühsam, wenn im Hintergrund ein Torrenclient mitläuft, gar unmöglich wegen den vielen Verbindungen.
Doch man kann mit einem Anzeigefilter bestimmte Verbindungen „heraussuchen“.
Zuerst einmal müssen wir aber wissen wonach wir suchen.
Da man normal mit einem Browser von Rapidshare lädt ist das Protokoll sehr wahrscheinlich HTTP.
Da WIR den Link an Rapidshare senden, ist es eine POST Übertragung.
Hätten wir als Filter also schon einmal:
http.request.method == "POST"
Dieser Filtert alle Aufrufe, die eine POST Übertragung sind.
Davon gibt es aber genügend also brauchen wir noch eine Ergänzung, die nicht viele Links aber ALLE Rapidshare Links enthalten.
Wenn man sich mehrer Rapidshare Link ansieht, bemerkt man, dass ALLE
/files/
enthalten.
(„http://www.rapidshare.com" kann man nicht nehmen, da es eine Domain und keine „Linkergänzung“ (URI) ist)
Kombiniert man nun beide Filter ergeben sie:
http.request.method == "POST" and http.request.uri contains "/files/"
(bei dem zweiten Teil „contains“ statt ==, da ja nach Ergebnissen gesucht wird die unteranderem /files/ enthalten, und nicht ausschliesslich.)
(Die Ableitung dieses Filters müsst ihr nicht verstehen, ich wollt sie nur der Vollständigkeit halber erklären.)
Ihr müsst nur den Filter kennen!
Diesen tragt ihr in Wireshark oben links neben „Filter“ ein und klickt aus „Apply“.
http://img3.imagebanana.com/img/4wttrbkt/wiresharkfiltern.jpg
Danach habt könnt ihr unter „Info“ die URI ablesen.
Es kann vorkommen, dass sich 2 oder mehrere identische in der List befinden, das kommt darauf an, wie oft ein Link an Rapidshare gesendet wurde.
Es werden zu einer Datei unter Umständen 2 verschiedene Links angezeigt (/files/1263012836/1231723/Beispiel.rar und files/1263012836/Beispiel.rar), nehmt hier nur den Link mit einer Zahlenkombination, der andere führt im Endeffekt zur gleichen Seite/Datei.
http://img3.imagebanana.com/img/r1e0lvft/wiresharkrslinks.jpg
Damit ihr die Links nicht abtippen müsst, könnt ihr im mittleren Feld auf das Plus vor
Hypertext Transfer Protocol
klicken, danach auf das Plus vor
POST …
Dann macht ihr einen Rechtsklick auf
Request URI
Und wählt dann
copy --> Bytes (Printable Text Only)
Dann habt ihr die URI (/files/…) in die Zwischenablage kopiert.
Nun könnt ihr Sie beispielsweise in eine Textdatei kopieren. (Das "www.rapidshare.com" müsst ihr von Hand tippen)
Auch hier gilt, ihr müsst das mit allen Links einzeln machen, wenn ihr alle haben wollt.
http://img3.imagebanana.com/img/hg51j3me/wiresharkcopyurl.jpg
Das war’s!
Ich weiß, dass es aufwendiger wie ein einfacher Decrypter ist, aber das TUT ist für die, die einfach mal wissen wollten wie man DLC Container snifft.
Das ganze wird auch in Zukunft funktionieren, da HTTP grundsätzlich unverschlüsselt ablauft und lässt sich natürlich auch auf andere Containerformate anwenden.
ihr kennt doch die "sicheren" Containerformate, welche die Uploader gerne benutzen um ihre Uploads zu "schützen".
Ich zeige euch jetzt mal wie "sicher" Sie wirklich sind, und wie man an die Links aus RSDF, CCF und sogar DLC Containern kommt.
------------------------------------------------------------------------------------------------------------------
http://img3.imagebanana.com/img/n5lvqtdg/rsdf.jpg
http://img3.imagebanana.com/img/b74ql3az/ccf.jpg
Fangen wir mit RSDF und CCF an:
Sie basieren beide auf einer simplen Verschlüsselung mit einem Algorithmus.
Da es zu der Zeit der Entstehung von RSDF und CCF noch keinen jD gab, konnten User, welche ein anderes OS als Windows nutzten, die per RSDF oder CCF "gesicherten" Downloads nicht nutzen.
Dadurch wurde von einem User der nur Linux und Mac nutzt der Algorithmus von RSDF untersucht.
Mit seiner Hilfe wurde er geknackt und man konnte RSDF Files entschlüsseln.
Der Public Key für RSDF ist :
8C 35 19 2D 96 4D C3 18 2C 6F 84 F3 25 22 39 EB 4A 32 0D 25
Der Algorithmus von CCF ist hingegen nicht bekannt.
Mit dem Erscheinen der CCF2RSDF.exe waren die CCF Container dann aber auch kein Problem mehr.
Da das Entschlüsseln für einen normalen User aber auch mit dem Public Key nicht möglich war, wurden diverse Decrypter programmiert, die es auch dem normalen User möglich machen die RSDF & CCF Container zu Decrypten.
http://img3.imagebanana.com/img/jr1y5ry/Untitled2.jpg
http://img3.imagebanana.com/img/c03y3c7i/Untitled3.jpg
http://img3.imagebanana.com/img/seajv6lt/Untitled.jpg
Da ich die Petzen nicht unterstützen möchte, gibt es vorerst keine Links zu den Decryptern!
VIELLEICHT poste ich sie zu einem späteren Zeitpunkt.
http://img3.imagebanana.com/img/ioc47qcd/dlc.jpg
Nun zu DLC:
Die Funktionsweise von DLC ist etwas anders. Bei dem Erstellen einer DLC werden die Links mit einem zufallsgenerierten Key verschlüsselt. Dieser Key wird an den DLC Server geschickt, wo er mit einem Masterkey, welcher nur auf dem DLC Server liegt, verschlüsselt wird, und dann zurück gesendet. Der verschlüsselte Key wird nun mit in den DLC geschrieben.
Läd man nun die DLC, sendet der Client eine Anfrage an den Server den Key für ihn zu entschlüsseln.
Der Server entschlüsselt den Key mit dem Masterkey und verschlüsselt ihn dann wieder mit dem Clientkey des Clients welcher ihn angefragt hat. Der mit dem Clientkey verschlüsselte Key wird an den Client zurück gesendet, welcher ihn nun decrypten kann und die Links laden.
Jeder Client hat einen eigenen Clientkey, sprich jD hat einen anderen als MSD.
DAS ist genau die Schwierigkeit bei DLC. Wird in einem Client eine Schwachstelle entdeckt um DLC zu decrypten, wird dieser Client einfach vom DLC Server gesperrt und kann somit die Links der DLC nicht mehr decrypten.
------------------------------------------------------------------------------------------------------------------
Es gibt aber eine Möglichkeit an die Links zu kommen, das Sniffen!
Ich zeige euch nun wie das funktioniert.
Warum braucht man 50 Beiträge?
-Weil ich keine Petzen unterstütze und darum nicht möchte, dass jeder einfach so das Tutorial sehen kann.
Ausserdem sind 50 Beiträge ja auch keine wirklich hohe Anforderung. :wink:
Was brauchen wir dafür?
einen Sniffer (Ich nutze Wireshark, da Freeware und sehr viele Einstellungsmöglichkeiten)
einen Downloader mit DLC Support (ich nehme jD)
einen DLC Container
etwas Zeit und Handarbeit
So, fangen wir an!
Zuerst installiert ihr Wireshark oder nutzt eine portable Version.
Nun startet ihr ihn, das Fenster müsste dann so aussehen:
http://img3.imagebanana.com/img/446b9/wiresharkstart.jpg
Nun gehen wir ins Interfacemenü, entweder über das Symbol ganz links oder über den Reiter Capture --> Interfaces.
http://img3.imagebanana.com/img/7thw3bav/wiresharkinterfaces.jpg
Hier klickt ihr bei eurer Internetverbindung auf „Start“.
In meinem Fall wäre das das erste, AVM FRITZ!WLAN USB STICK.
Nun seht ihr wieder das Hauptfenster, nur werden dort jetzt ALLE Internetverbindung protokolliert.
http://img3.imagebanana.com/img/bwqvm3xl/wiresharkstarted.jpg
So, wir minimieren Wireshark nun und starten jD und laden einen DLC Container.
Ob er unverschlüsselte Links oder z.B. mit Secured verschlüsselte Links enthält ist völlig egal.
http://img3.imagebanana.com/img/lcmt0ms/jddlcladen.jpg
Wenn die Links entschlüsselt wurden und ihr das/die Pakete akzeptiert habt sieht das so aus.
http://img3.imagebanana.com/img/mfjtg0nh/jdlinksloaded.jpg
Nun müssen wir jeden Link „anladen“, dazu stellt ihr am besten auf Handeingabe und den reconnect deaktivieren.
Es reicht schon wenn nur die Captcha Abfrage kommt.
http://img3.imagebanana.com/img/ggdmd15u/jdcaptchaabfrage.jpg
Einfach einen falschen Code eingaben, und dann den Download anhalten. Nun den Link entfernen und den nächsten „anladen“. Das müsst ihr mit allen Links aus dem DLC Container machen!
Es kann auch dieses Fenster kommen, das ist auch völlig egal.
http://img3.imagebanana.com/img/bfs75vwm/jdwrongcaptchas.jpg
Wenn ihr "Glück" habt werdet ihr als Bot erkannt, dann "läd" jD nämlich ein paar Links, zum Teil auch alle, automatisch an, was diese Prozedur extrem verkürzt.
In der HappyHour müsst ihr halt immer Download starten, Download stoppen , Link löschen und mit dem nächsten Fortfahren, und gegebenenfalls reconnecten.
Habt ihr eine Premiumaccount könnt ihr auch alle Links anladen lassen, dies ist natürlich die schnellste Methode.
http://img3.imagebanana.com/img/37qyj7nc/anladen.jpg
(Bild nur für User mit Premiumaccount)
Wenn ihr alle Links durchhabt könnt ihr den jD schliessen.
Holt nun wieder das Wireshark Fenster „hervor“.
Die Links findet ihr nun unter „Info“ im oberen Fenster.
http://img3.imagebanana.com/img/oawwtr81/wiresharkauswertung.jpg
Das alles abzusuchen ist sehr mühsam, wenn im Hintergrund ein Torrenclient mitläuft, gar unmöglich wegen den vielen Verbindungen.
Doch man kann mit einem Anzeigefilter bestimmte Verbindungen „heraussuchen“.
Zuerst einmal müssen wir aber wissen wonach wir suchen.
Da man normal mit einem Browser von Rapidshare lädt ist das Protokoll sehr wahrscheinlich HTTP.
Da WIR den Link an Rapidshare senden, ist es eine POST Übertragung.
Hätten wir als Filter also schon einmal:
http.request.method == "POST"
Dieser Filtert alle Aufrufe, die eine POST Übertragung sind.
Davon gibt es aber genügend also brauchen wir noch eine Ergänzung, die nicht viele Links aber ALLE Rapidshare Links enthalten.
Wenn man sich mehrer Rapidshare Link ansieht, bemerkt man, dass ALLE
/files/
enthalten.
(„http://www.rapidshare.com" kann man nicht nehmen, da es eine Domain und keine „Linkergänzung“ (URI) ist)
Kombiniert man nun beide Filter ergeben sie:
http.request.method == "POST" and http.request.uri contains "/files/"
(bei dem zweiten Teil „contains“ statt ==, da ja nach Ergebnissen gesucht wird die unteranderem /files/ enthalten, und nicht ausschliesslich.)
(Die Ableitung dieses Filters müsst ihr nicht verstehen, ich wollt sie nur der Vollständigkeit halber erklären.)
Ihr müsst nur den Filter kennen!
Diesen tragt ihr in Wireshark oben links neben „Filter“ ein und klickt aus „Apply“.
http://img3.imagebanana.com/img/4wttrbkt/wiresharkfiltern.jpg
Danach habt könnt ihr unter „Info“ die URI ablesen.
Es kann vorkommen, dass sich 2 oder mehrere identische in der List befinden, das kommt darauf an, wie oft ein Link an Rapidshare gesendet wurde.
Es werden zu einer Datei unter Umständen 2 verschiedene Links angezeigt (/files/1263012836/1231723/Beispiel.rar und files/1263012836/Beispiel.rar), nehmt hier nur den Link mit einer Zahlenkombination, der andere führt im Endeffekt zur gleichen Seite/Datei.
http://img3.imagebanana.com/img/r1e0lvft/wiresharkrslinks.jpg
Damit ihr die Links nicht abtippen müsst, könnt ihr im mittleren Feld auf das Plus vor
Hypertext Transfer Protocol
klicken, danach auf das Plus vor
POST …
Dann macht ihr einen Rechtsklick auf
Request URI
Und wählt dann
copy --> Bytes (Printable Text Only)
Dann habt ihr die URI (/files/…) in die Zwischenablage kopiert.
Nun könnt ihr Sie beispielsweise in eine Textdatei kopieren. (Das "www.rapidshare.com" müsst ihr von Hand tippen)
Auch hier gilt, ihr müsst das mit allen Links einzeln machen, wenn ihr alle haben wollt.
http://img3.imagebanana.com/img/hg51j3me/wiresharkcopyurl.jpg
Das war’s!
Ich weiß, dass es aufwendiger wie ein einfacher Decrypter ist, aber das TUT ist für die, die einfach mal wissen wollten wie man DLC Container snifft.
Das ganze wird auch in Zukunft funktionieren, da HTTP grundsätzlich unverschlüsselt ablauft und lässt sich natürlich auch auf andere Containerformate anwenden.