Affichage hiérarchique

b0fh · (Modification du message : 26-11-2012, 17h27 par b0fh.)

Hello,

J'essaie d'identifier un service réseau que nmap ne reconnait pas. Il tourne sur tcp/12345, sur une machine Linux. pour l'instant je n'ai observé que deux comportements différents: soit il ferme la connexion sans rien transmettre, soit il envoie ceci:

Code :
00000000  ff 00 0e 00 50 00 72 00  6f 00 74 00 6f 00 63 00  |....P.r.o.t.o.c.|

00000010  6f 00 6c 00 20 00 65 00  72 00 72 00 6f 00 72     |o.l. .e.r.r.o.r|

Je suppose que le FF00 au début est une BOM UTF-16, et que le 0x0E qui suit correspond à la longueur du message envoyé.

EDIT: il semblerait plutot que le FF soit une marque, suivi par la longeur de la réponse codée sur 2 bytes (si j'envoie [FF {xx} {yy}] suivi de garbage, je reçois une protocol error après exactement 0x{xx}{yy} bytes de garbage.

Est-ce que quelqu'un a déja vu ça ? une idée de quel service ce pourrait être ?

EDIT: c'était un serveur minecraft. Merci pour vos efforts !

sakiir · 11-11-2012, 03h52

mmmh jamais vu ... tape le code ASII sur google ..

Phobos · 23-11-2012, 12h57

Je sais pas si ça peut aider mais quand plusieurs 00 se suivent c'est possible que le protocole raccourcisse par un seul 00

***supersnail*** · 23-11-2012, 13h03

@Phobos: malheureusement ce n'est pas le cas ici (comme le dit b0fh, c'est plus de l'UTF-quelquechose, bref un tableau de wchar). Aucune idée d'où ça peut venir par contre.

23-11-2012, 14h46

Le Port 12345/TCP est utiliser souvent sur Windows comme backdoors par des trojans, si je ne dis pas de connerie. Je ne sais pas, néanmoins si c'est le cas sur Linux .

http://www.speedguide.net/port.php?port=12345
http://www.auditmypc.com/tcp-port-12345.asp
http://www.corrupteddatarecovery.com/Por...NetBus.asp

Édit : Visiblement ce n'est pas le cas sur Gnu/linux :
http://www.linuxsa.org.au/pipermail/linu...19292.html

Le port 12345/TCP est peut être verrouiller pour éviter, justement qu'on y touche.

b0fh · 23-11-2012, 15h38

Le port n'est pas firewallé puisque j'arrive a m'y connecter et a communiquer avec. Et je suis quasiment certain que nmap est capable de reconnaitre NetBus.

LR-6 · 23-11-2012, 20h29

Et puis on est en 2012, personne n'utilise NetBus de nos jours.

gruik · 24-11-2012, 18h01

(11-11-2012, 03h50)b0fh a écrit : une idée de quel service ce pourrait être ?

si tu as un accès root à la machine l'option -p de netstat peut être ton ami

InstinctHack · 24-11-2012, 18h03

(24-11-2012, 18h01)gruik a écrit :
(11-11-2012, 03h50)b0fh a écrit : une idée de quel service ce pourrait être ?

si tu as un accès root à la machine l'option -p de netstat peut être ton ami

j'imagine que si il l'avait, il n'aurais pas poster Smile

b0fh · 26-11-2012, 17h26

Mystère élucidé: c'est un serveur minecraft.

le 0xFF est le code de kick (vu que le protocole est incorrect), et envoyer un unique byte 0xFE (server ping) renvoie le nom du serveur dans une string utf16.

**ark** · 26-11-2012, 17h46

Ahah ^^'
On peut savoir comment tu l'as découvert ?

gruik · 26-11-2012, 18h27

(26-11-2012, 16h22)b0fh a écrit :16:22:31 <+MacYavel> j'ai essayé de lui envoyer 0xfe a la place de 0xff, juste pour voir
16:22:40 <+MacYavel> coup de bol c'est le message "show server satus"

comme quoi des fois ça tient à peu de choses ^^

Sujets apparemment similaires…
Sujet		Auteur	Réponses	Affichages	Dernier message
	Protocole de communication chiffré et décentralisé	InstinctHack	2	183	03-04-2013, 02h31 Dernier message: InstinctHack

Identifiant Mot de passe
S’enregistrer \| Mot de passe oublié ? Se rappeler