Foro - Perl en Español

Publicado: **2013-11-20 11:44 @530**

Hola, estaba probando este código que sirve como sniffer que es muy viejo.

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

#!/usr/bin/perl
 
$LIMIT = shift || 5000;
 
$|=1;
open (STDIN,"/usr/sbin/tcpdump -lnx -s 1024 dst port 80 |");
while (<>) {
    if (/^\S/) {
        last unless $LIMIT--;
        while ($packet=~/(GET|POST|WWW-Authenticate|Authorization).+/g)  {
            print "$client -> $host\t$&\n";
        }
        undef $client; undef $host; undef $packet;
        ($client,$host) = /(\d+\.\d+\.\d+\.\d+).+ > (\d+\.\d+\.\d+\.\d+)/
            if /P \d+:\d+\((\d+)\)/ && $1 > 0;
    }
    next unless $client && $host;
    s/\s+//;
    s/([0-9a-f]{2})\s?/chr(hex($1))/eg;
    tr/\x1F-\x7E\r\n//cd;
    $packet .= $_;
}
Coloreado en 0.003 segundos,  usando GeSHi 1.0.8.4

El tema es que solo muestra esto a pesar donde navegue por Internet:

Sintáxis: [ Descargar ] [ Ocultar ]

Using text Syntax Highlighting

doddy@doddy-desktop:~/Escritorio/test$ sudo perl sniffer.pl 
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 1024 bytes
Coloreado en 0.000 segundos,  usando GeSHi 1.0.8.4

Me parece raro y lo necesito usar con tcpdump porque siempre viene por defecto. ¿ Alguien sabe si cambiaron los comandos de tcpdump o si el código ya es viejo y no sirve?

Todo esto está basado de acá: http://stein.cshl.org/~lstein/talks/WWW6/sniffer/

Publicado: **2013-11-20 14:10 @632**

Sí, el formato ha cambiado un poco.

La siguiente versión funciona con un tcpdump moderno.

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

#!/usr/bin/perl
 
$LIMIT = shift || 5000;
 
$|=1;
open (STDIN,"/usr/sbin/tcpdump -lnx -s 1024 dst port 80 |");
while (<>) {
    if (/^\S/) {
        last unless $LIMIT--;
        while ($packet=~/(GET|POST|WWW-Authenticate|Authorization).+/g)  {
            print "$client -> $host\t$&\n";
        }
        undef $client; undef $host; undef $packet;
        ($client,$host) = /IP (\d+\.\d+\.\d+\.\d+).+ > (\d+\.\d+\.\d+\.\d+)/;
    }
    next unless $client && $host;
    s/\s+//g; 
    s/0x[abcdef\d]+://i;
    s/([0-9a-f]{2})/chr(hex($1))/eg;   
    tr/\x1F-\x7E\r\n//cd;
    $packet .= $_;
}
Coloreado en 0.001 segundos,  usando GeSHi 1.0.8.4

Publicado: **2013-11-20 15:02 @668**

Me sorprendió, funciona perfecto. El problema es que no sé cómo funciona el fixup.pl para decodificar la información que está en la página que te mostré. Me parece raro no sé cuándo se usa. ¿Cómo uso el fixup.pl con tu versión? Con eso me refiero a cuándo la uso, porque no entiendo cómo se combina.

P.D.: Last modified: Mon Jul 21 14:55:16 EDT 1997 , esta técnica es muy vieja

Publicado: **2014-01-11 14:34 @649**

explorer, tengo una duda. Quiero escribir esto mismo pero de otra forma:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

undef $client; undef $host; undef $packet;
Coloreado en 0.001 segundos,  usando GeSHi 1.0.8.4

Intenté con "my" pero después falla el código.

¿ De qué otra forma se logra lo mismo ?

Publicado: **2014-01-11 15:12 @675**

Si el objetivo es indefinir esas variables, no conozco otra forma.

Ahora bien... a lo mejor el problema es que tengas que indefinirlas...

Publicado: **2014-01-11 15:34 @690**

Ok, mira, el código quedó así:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

#!usr/bin/perl
#DH Sniffer 0.3
#(C) Doddy Hackman 2013
 
use CGI;
use threads;
 
$| = 1;
 
my $hilo_get = threads->new( \&sniffer_get );
 
#my $hilo_post = threads->new( \&sniffer_post );
 
if ( $ARGV[0] =~ /g/ ) {
    $hilo_get->join;
}
 
#$hilo_post->join;
 
sub sniffer_get {
 
    open( STDIN, "/usr/sbin/tcpdump -lnx -s 1024 dst port 80 |" );
 
    while (<>) {
 
        if (/^\S/) {
 
            while ( $contenido =~ /(GET|POST|WWW-Authenticate|Authorization).+/g ) {
                print "\n[+] $ip = $name " . uri_unescape($&);
                savefile( "logs", "\n[+] $ip = $name " . uri_unescape($&) );
            }
 
            undef $ip;
            undef $name;
            undef $contenido;
 
            ( $ip, $name ) = /IP (\d+\.\d+\.\d+\.\d+).+ > (\d+\.\d+\.\d+\.\d+)/;
 
        }
 
        s/\s+//g;
        s/0x[abcdef\d]+://i;
        s/([0-9a-f]{2})/chr(hex($1))/eg;
        tr/\x1F-\x7E\r\n//cd;
 
        $contenido .= $_;
 
    }
}
 
# The End ?
Coloreado en 0.002 segundos,  usando GeSHi 1.0.8.4

Desde que implementé el tema de los threads funciona mal. Mira lo que devuelve:

Sintáxis: [ Descargar ] [ Ocultar ]

Using text Syntax Highlighting

Can't open -g: No existe el fichero o el directorio at test.pl line 23.

doddy@doddy-desktop:~/Escritorio/HackingToolz/Warfactory IX/DH Sniffer$ tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), capture size 1024 bytes

1 packets captured

1 packets received by filter

0 packets dropped by kernelColoreado en 0.000 segundos,  usando GeSHi 1.0.8.4

Al parecer el error está acá:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

while (<>) {
Coloreado en 0.001 segundos,  usando GeSHi 1.0.8.4

¿ Cómo arreglo el código ?

Publicado: **2014-01-12 07:15 @343**

El problema está en que Perl trata a los argumentos como si fueran nombres de archivos que tiene que procesar.

Así, cuando pones '-g' después del nombre del programa, Perl lo intenta abrir como si fuera un archivo, para luego ser procesado línea a línea con el while(<>). Y claro: ese argumento no es un archivo, sino un parámetro de funcionamiento.

Una solución rápida es la de "sacar" el parámetro de la lista de argumentos, es decir, de @ARGV.

Inserta la línea siguiente delante de la 15:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

    shift;     # saca el argumento '-g' de @ARGV
Coloreado en 0.001 segundos,  usando GeSHi 1.0.8.4

Otra cosa... ¿para qué necesitas usar threads? No veo nada en el código, que lo requiera.

Publicado: **2014-01-12 08:30 @396**

Corregí el código pero sigue devolviendo mal el resultado. Te muestro el código completo:

Sintáxis: [ Descargar ] [ Ocultar ]

Using perl Syntax Highlighting

#!usr/bin/perl
#DH Sniffer 0.3
#(C) Doddy Hackman 2013
#Credits :
#Based on :
#http://stackoverflow.com/questions/4777042/can-i-use-tcpdump-to-get-http-requests-response-header-and-response-body
#http://www.perlmonks.org/?node_id=656590
#http://stein.cshl.org/~lstein/talks/WWW6/sniffer/
#http://perlenespanol.com/foro/post36051.html
#Thanks to : Lincoln D. Stein , paulz and Explorer
 
use CGI;
use threads;
 
$| = 1;
 
my $hilo_get  = threads->new( \&sniffer_get );
my $hilo_post = threads->new( \&sniffer_post );
 
my $con = shift;
 
print "con $con";
 
if ( $con =~ /g/ ) {
    $hilo_get->join;
}
if ( $con =~ /p/ ) {
    $hilo_post->join;
}
 
sub sniffer_get {
 
    open( STDIN, "/usr/sbin/tcpdump -lnx -s 1024 dst port 80 |" );
 
    while (<>) {
 
        if (/^\S/) {
 
            while ( $contenido =~ /(GET|POST|WWW-Authenticate|Authorization).+/g ) {
                print "\n[+] $ip = $name " . uri_unescape($&);
                savefile( "logs", "\n[+] $ip = $name " . uri_unescape($&) );
            }
 
            undef $ip;
            undef $name;
            undef $contenido;
 
            ( $ip, $name ) = /IP (\d+\.\d+\.\d+\.\d+).+ > (\d+\.\d+\.\d+\.\d+)/;
 
        }
 
        s/\s+//g;
        s/0x[abcdef\d]+://i;
        s/([0-9a-f]{2})/chr(hex($1))/eg;
        tr/\x1F-\x7E\r\n//cd;
 
        $contenido .= $_;
 
    }
}
 
sub sniffer_post {
 
    open( STDIN, "tcpdump -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' |" );
    while (<>) {
 
        if (/^\S/) {
 
            my $code = $_;
 
            $buscando = CGI->new($code);
 
            my @params = $buscando->param;
 
            foreach $par (@params) {
 
                if ( $par =~ /\./ ) {
                    next;
                }
                else {
                    my $dataf = $buscando->param($par);
                    print "\n[+] $par " . " : " . $dataf;
                    savefile( "logs", "\n[+] $par " . " : " . $dataf );
                }
            }
        }
    }
}
 
sub savefile {
    open( SAVE, ">>" . $_[0] );
    print SAVE $_[1];
    close SAVE;
}
 
# The End ?
 
Coloreado en 0.003 segundos,  usando GeSHi 1.0.8.4

Publicado: **2014-01-12 12:47 @574**

Yo no veo nada raro, pero tampoco lo he probado. ¿Sigue saliendo el error de que intenta abrir el archivo que no es?

Publicado: **2014-01-12 13:12 @592**

Sigue dando lo mismo que la primera vez, por eso te mostré el código para ver cuál era el error.

Foro - Perl en Español

Sniffer con tcpdump

Sniffer con tcpdump

Re: Sniffer con tcpdump

Re: Sniffer con tcpdump

Re: Sniffer con tcpdump

Re: Sniffer con tcpdump

Re: Sniffer con tcpdump

Re: Sniffer con tcpdump

Re: Sniffer con tcpdump

Re: Sniffer con tcpdump

Re: Sniffer con tcpdump