ICQ Passwort in Wireshark finden

[palaber]

Hallo zusammen,

momentan arbeiten wir an der FH mit Wireshark. Ich bin gerade dabei zu schauen wie und was man alles bei ICQ herausfinden kann. So Dinge wie die ICQ Nr. und die Buddyliste habe ich schon entdeckt.

Jetzt würde ich gerne noch mein PW finden. Allerdings habe ich keine Ahnung wo ich da ansetzen soll. Ich hab schon gegoogelt. ICQ 7 legt das PW wohl als MD5 ab.
Hab nach dem PW im 1. AIM Protokoll, dass von meinen Rechner aus weggeht, gesucht (Info: New Connection).

Laut eines Eintrages liegt das PW in diesem Packet und zwar im TLV: Roasted Passwort Array. Das finde ich gar nicht, dafür das TLV: Authorisation Coockie - aber das PW finde ich dort nicht.

Wäre super wenn mir jemand nen Tipp geben könnte, oder ein Tutorium / Website auf der es ein für mich ein paar gute Infos gibt. Evtl. such ich ja nur im falschen Packet.

 

[andryyy]

Dass es als MD5 abgeschickt wird, kann ich mir gut vorstellen. Allerdings nicht, dass das ganze über http (o.Ä.). Ich denke eher, dass das via https passiert. Und in dem Fall wird das ganze nicht so einfach ..
Aber ich lese mal mit, interessiert mich mal ...

 

[Janz]

Naja in einschlägigen Foren wirst du dazu Hilfe bekommen, hier nicht! Bzw hier wird dir niemand ne Anleitung geben wie du illegale Sachen (i.e. Passwordsniffing etc) geben, sorry. Ohne mich damit konkret auszukennen würd ich jetzt aber behaupten,dass das PW sowieso verschlüsselt gesendet wird, alles andere wäre dumm

 

[andryyy]

Das ist an sich nicht illegal. Eine Anleitung zum Herausfinden von WEP Passwörtern ist es ebenfalls nicht. Wenn er einfach nur an die MD5 möchte, die evtl. ohne Verschlüsselung durch WireShark geht, ist das okay. Denn diese Daten könnte jeder mitlesen wie er lustig ist. Wenn es dann darum geht, den MD5 Hash zu knacken, wäre das wieder eine andere Sache. Außerdem schreibt er doch ganz klar, wofür er das machen möchte.
Ich denke, wenn die Mods nichts dagegen haben, ist das vollkommen okay.

 

[Turas]

Ich denke auch, dass das Passwort bei einem solch bekannten Programm verschlüsselt übertragen wird. Von daher hast du eher schlechte Chancen.

 

[flo36]

Ich denke er will ja nicht das Passwort wissen. Sondern nur den Übertragungsort bzw. die Übertragungsart des (hoffentlich) gehashten Passworts.

 

[andryyy]

Ach, was solls .. ich installier mir den Kram mal wieder und probier es einfach aus.

 

[Turas]

Der Glaube an rechtes Handeln hat sich ja nicht lange gehalten

 

[palaber]

Also ich will dies nur im Rahmen von Lehre und Vorschung wissen. In diesem Rahmen ist es laut unserm Prof. ok. Zudem kenn ich mein Passwort ja. Dass es verboten ist von fremden das Passwort abzugreif weiß ich und werde es auch nicht tun.

Falls es hier trotzdem nicht behandelt werden darf, kann man mich ja darauf hinweisen und dann lass ich es.

Laut meiner bisherigen Recherche wird das PW als MD5 Hash im AIM Protokoll übertragen.
Früher sogar als Plaintext.

Trotzdem schon mal danke.

 

[Yuuri]

SSL ist afaik bei jedem IM-Clienten für ICQ aktiviert. Wird schwer werden.

 

[andryyy]

Ist TLSv1 .. habe mal kurz gegooglet, das mit dem MD5 via HTTP ist wohl schon eine Weile her.

Hätte mich auch schwer gewundert, wenn das ohne HTTPS und dazu noch "nur" mit MD5 passiert. Am besten noch unsalted.

 

[palaber]

Kann man dann feststellen in welchem Paket und an welcher Stelle das PW übertragen wird?

 

[kelox]

Eine Protokoll Beschreibung zum ICQ Protokoll gibt es hier:

http://iserverd1.khstu.ru/oscar/

Kannst auch nach anderen Stellen suchen. Da kannste schauen, wie die Packete aussehen. Dort sollte sich finden lassen, wo das PWD steht.

VG.