Discussion :

[Patrick Hockstetter]

En ce qui concerne l'apprentissage de Scapy, le livre tente de nous faire capturer des identifiants de mail, identifiant et mot de passe.

Le code en python pour le faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sniff(filter='tcp port 110 or tcp port 25 or tcp port 143', prn=packet_callback, store=0)

Le filtre indique que seul les paquets avec des ports liés au mail seront capturé, donc SMTP et IMAP.

La fonction packet_callback affichera normalement les informations.

Le problème c'est que le livre ne semble pas assez complet, il indique la sortie suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
python mail_sniffer.py
[*] Destination: 192.168.1.207[*] b'user tim\n'[*] Destination: 192.168.1.207[*] b'PASS 1234567\n'

Et il indique :

"Here is some sample output from a dummy email account the authors attempted to connect a mail client to"
"You can see that our mail client is attempting to login to the server at 192.168.1.207 and send the plaintext credentials over the wire".

Mais il n'indique pas comment il a fait pour tenter de se login au serveur à 192.168.1.207 avec un mail client.

J'ai essayé de mon côté d'installer postfix sur le local host, qui écoute sur le port 25, lorsque je tente de connecter un mail client smtplib il est indiqué que le serveur ne supporte pas l'authentification, j'ai essayé de le mettre mais impossible, la doc python est complètement dégueulasse (aucune mise en page) en plus de ne pas fonctionner.

Le serveur IMAP dovecot on peut bien s'identifier mais ne renvoie aucun paquet.

J'ai même essayé avec un web mail comme rainloop, le paquet sort mais il est sur le port 80 donc il ne passe pas le filtre.

J'avoue que j'ai un peu tout essayé, mais je demeure toujours bloqué sur le problème, si vous savez comment je peux faire.

[wiztricks]

J'avoue que j'ai un peu tout essayé, mais je demeure toujours bloqué sur le problème, si vous savez comment je peux faire.

Vous avez 2 soucis à séparer: le premier est voir les paquets qui passent lors de la connexion à un serveur de messagerie pour expédier un mail. Pour ça vous pouvez utiliser Telnet, essayer de vous connecter "manuellement" à un serveur SMTP (gmail par exemple) et regarder les paquets qui passent avec wireshark (par exemple).

Une fois que vous êtes au point avec le premier point, il faut remplacer wireshark par Python/Scapy et y retrouver les mêmes informations.

j'ai essayé de le mettre mais impossible, la doc python est complètement dégueulasse (aucune mise en page) en plus de ne pas fonctionner.

Si vous ne maîtrisez pas le protocole SMTP, la documentation qui explique comment l'utiliser depuis Python sera illisible car vous ne savez pas trop comment y retrouver vos petits.
note: et connaître SMTP est un pré-requis pour se connecter à un serveur via Telnet.

- W

[Patrick Hockstetter]

Je sais comment utiliser SMTP et telnet.

Je peux me connecter facilement au serveur SMTP de gmail mais dans le livre il est indiqué que je dois me connecter en local host, pour ça que j'essaie de le faire en installant Postfix sur le local host où en utilisant SMTPD et ensuite créer un client mail avec smtplib, mais que ce soit smtplib ou telnet lorsque je tente de me login le message indique toujours que le serveur ne supporte pas l'authentification et je n'arrive pas à l'activer, que ce soit sur postfix ou les serveurs smtpd ou son remplacent aiostpmd, la documentation s'amuse à donner des codes qui ne vont pas fonctionner, faire importer des modules ou des fonctionnalités/class qui n'existent pas, et pour smtplib il y a bien une méthode auth, mais j'ignore si celle ci ajoute l'authentification à un serveur, et la documentation ne donne pas d'exemple d'utilisation. D'ailleurs je ne suis pas le seul à penser que les documentations de python sont mal foutu, c'est un sujet récurrent sur le net, donc voilà.

Le problème est donc d'ajouter une authentification

[wiztricks]

Le problème est donc d'ajouter une authentification

Je ne vois pas la différence coté messages qui vont passer sur le réseau.

Si vous voulez faire marcher postfix sur votre PC, c'est pas un sujet Python.

Quant à un serveur SMTP écrit en Python qui supporte l'authentification: ceux des bibliothèques standards ne le font pas et chercher ce qui existe (côté bibliothèque externe) sur Internet...

- W

[Patrick Hockstetter]

J'ai essayé avec le serveur IMAP Dovecot du coup que j'ai mis sur local host, j'ai mis le client imaplib dessus, j'ai pu me login mais le problème maintenant c'est que strictement aucun packet n'est capturé, que ce soit sur scapy ou wireshark.

J'ai aussi installé directement un mail client comme Thunderbird, je l'ai configuré pour qu'il gère postfix, dovecot, lorsque je me login dessus il n y a aucun packet de capturé ici aussi, je ne comprends pas pourquoi

[wiztricks]

j'ai pu me login mais le problème maintenant c'est que strictement aucun packet n'est capturé, que ce soit sur scapy ou wireshark.

Au moins, c'est cohérent (rien = rien) mais ça n'en fait pas plus un sujet "python".

- W

[Patrick Hockstetter]

Scapy est une bibliothèque python, c'est donc bien un sujet réseau python

Sinon comment faire pour que les packets apparaissent, c'est quoi qui bloque, je suis bien avancé là...

[wiztricks]

Sinon comment faire pour que les packets apparaissent, c'est quoi qui bloque, je suis bien avancé là...

Si vous ne les voyez pas avec wireshark, ce n'est pas encore un soucis scapy.
Après demander de l'aide c'est bien mais si on ne sait pas reproduire ce que vous faites sur votre machine "facilement", "ça ne marche pas" est un peu court pour faire un diagnostic... et on ne peut que compatir (ce qui ne vous aide pas plus que çà non plus...).

- W

[Patrick Hockstetter]

Je vais mettre les codes au cas où si des personnes veulent reproduire

Pour le code qui aspire les packets liés au mail :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
from scapy.all import sniff, TCP, IP 
 
def packet_callback(packet):
 
    if packet[TCP].payload: 
 
        mypacket = str(packet[TCP].payload)
 
        if 'user' in mypacket.lower() or 'pass' in mypacket.lower():
 
            print(f"[*] Destination: {packet[IP].dst}")
            print(f"[*] {str(packet[TCP].payload)}")
 
def main():
 
    sniff(filter='tcp port 110 or tcp port 25 or tcp port 143', prn=packet_callback, store=0)
 
if __name__ == '__main__':
 
    main()

Le sniffer aspire tous les packets liés aux mail.
Ici nous voulons aspirer les identifiants, mot de passe et utilisateur.

Le livre nous indique la sortie suivante :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
[*] Destination: 192.168.1.207
[*] b'USER tim/n'
[*] Destination: 192.168.1.207
[*] b'PASS 1234567\n'

Et il met ceci : "Here is some sample output from a dummy email account the authors attempted to connect a mail client to"
"You can see that our mail client is attempting to login to the server at 192.168.1.207 and send the plaintext credentials over the wire".

Mais il n'indique pas comment il a fait pour connecter le mail client au serveur kali linux, il dit juste qu'il l'a fait et nous donne le résultat

Moi j'ai essayé pleins de chose pour aspirer le mot de passe et l'utilisateur.

J'ai configuré Dovecot et Postfix.

Ensuite j'ai utilisé en python le mail client Dovecot IMAP, qui est IMAPLIB :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
import imaplib
 
imap = imaplib.IMAP4("192.168.1.207", 143)
 
imap.login("tim", "1234567")

Lorsque j'exécute ce code, aucun packet ne semble être aspiré, que l'authentification fonctionne ou pas

J'ai mis Thunderbird que j'ai aussi configuré sur localhost avec postfix et dovecot, mais même lorsque je m'identifie les packets n'apparaissent pas, comme s'ils étaient bloqué, et je me demande ce qui peut provoquer cela.

[wiztricks]

J'ai mis Thunderbird que j'ai aussi configuré sur localhost avec postfix et dovecot, mais même lorsque je m'identifie les packets n'apparaissent pas, comme s'ils étaient bloqué, et je me demande ce qui peut provoquer cela.

Le local host a une interface "spéciale": les paquets restent en mémoire sans passer par l'interface réseau. Ce qui est documenté dans le Wiki de Wireshark (avec des palliatifs).

- W

[Patrick Hockstetter]

En effet, il vaut mieux faire attention à la documentation python qui induit en erreur :

Mais si aucune interface n'est donnée, le sniffing se produira sur toutes les interfaces. Vous pouvez regarder dans la section Sniffing de la page Web de Scapy

Malheureusement, la documentation est erronée. Lorsqu'aucune interface n'est donnée, le scapy renifle sur conf.iface

Sinon merci d'avoir pris le temps de me répondre