Saturday, 12 December 2009
Juletip 11: N900 tcpdump
« Juletip 10: tiden flyver, og man føler man går i ring | Main | Email address change for Henrik Kramshoej »Update 15:14: Jeg er en tumpe, tcpdump virker - hvis man vælger det rigtige interface :-)
Hovsa, jeg tror julemanden kom forbi, for jeg har fået fat på en N900 til lidt leg :-)
Jeg har tidligere snakket en del om min Nokia N810 som jeg har leget en del med, både med tcpdump, airodump osv. - det er en sød lille hackerplatform. Dog er den lidt begrænset med specs:
- Procesor TI OMAP 2420, 400Mhz
- Memory DDR RAM 128MB
- Flash 256MB
- Storage Up to 2GB internal memory
Men den virker fint - bortset fra at Metasploit er for langsomt, men dog kan starte op.
Nå men en Nokia N900 har vist disse specs:
- Processor: TI OMAP 3430: ARM Cortex-A8 600 MHz,
- Grafik PowerVR SGX with OpenGL ES 2.0 support
- Memory Up to 1GB of application memory (256 MB RAM, 768 MB virtual memory)
Vrooooom tænker jeg straks - udover at en N900 jo også er en telefon. Så i med et SIM kort, det gjorde jeg igår efter en 12 timers arbejdsdag. Sorry derfor juletip er forsinket, men de kommer!
Hvis du støder på en N900 er der dog lidt tip, blandt andet skal du smide flere repositories ind. Det vigtigste lige for julekalenderen er nok fremantle tools der blandt andet giver tcpdump :-).
Nokia-N900-42-11:~# apt-get install tcpdump Reading package lists... Done Building dependency tree Reading state information... Done The following extra packages will be installed: libpcap0.8 The following NEW packages will be installed: libpcap0.8 tcpdump 0 upgraded, 2 newly installed, 0 to remove and 2 not upgraded. Need to get 404kB of archives. After this operation, 926kB of additional disk space will be used. Do you want to continue [Y/n]? Y WARNING: The following packages cannot be authenticated! libpcap0.8 tcpdump Install these packages without verification [y/N]? y Get:1 http://repository.maemo.org fremantle/tools/free libpcap0.8 0.9.8-5+0m5 [93,9kB] Get:2 http://repository.maemo.org fremantle/tools/free tcpdump 3.9.5-2osso2 [310kB] Fetched 404kB in 0s (629kB/s) Selecting previously deselected package libpcap0.8. (Reading database ... 22804 files and directories currently installed.) Unpacking libpcap0.8 (from .../libpcap0.8_0.9.8-5+0m5_armel.deb) ... Selecting previously deselected package tcpdump. Unpacking tcpdump (from .../tcpdump_3.9.5-2osso2_armel.deb) ... Setting up libpcap0.8 (0.9.8-5+0m5) ... Setting up tcpdump (3.9.5-2osso2) ...
NB: ovenstående er copy-pastet fra en SSH session, jeg har selvfølgelig smidt gainroot og OpenSSH server ind også :-) Derefter kan man starte tcpdump som vi plejer:
Nokia-N900-42-11:~# tcpdump -n icmp tcpdump: WARNING: wmaster0: no IPv4 address assigned tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on wmaster0, link-type IEEE802_11 (802.11), capture size 96 bytes 13:32:03.561267 IP 10.0.42.104 > 10.0.42.95: ICMP echo reply, id 34528, seq 0, length 64 13:32:04.600025 IP 10.0.42.104 > 10.0.42.95: ICMP echo reply, id 34528, seq 1, length 64 13:32:05.514087 IP 10.0.42.104 > 10.0.42.95: ICMP echo reply, id 34528, seq 2, length 64 13:32:06.545337 IP 10.0.42.104 > 10.0.42.95: ICMP echo reply, id 34528, seq 3, length 64
Hmm der er noget galt - for vi ser kun pakkerne ud af vores interface. Øv, det begrænser jo brugbarheden en del - det ryger på todolisten. Min N810 sniffer fint både med tcpdump, dsniff osv. - ligesom en Nmap nemt udføres med den platform.
Tcpdump virker, hvis man vælger interface wlan0, altså tcpdump -ni wlan0
Men et andet værktøj kan installeres fra samme repository, hcidump fra pakken bluez-hcidump som er værktøjer fra http://www.bluez.org/ - vupti så har jeg altså (endelig) fået fat i noget Bluetooth sniffer værktøj.
Nokia-N900-42-11:~# hcidump -?
HCI sniffer - Bluetooth packet analyzer ver 1.42
hcidump: invalid option -- ?
Usage: hcidump [OPTION...] [filter]
-i, --device=hci_dev HCI device
-l, --snap-len=len Snap len (in bytes)
-p, --psm=psm Default PSM
-m, --manufacturer=compid Default manufacturer
-w, --save-dump=file Save dump to a file
-r, --read-dump=file Read dump from a file
-s, --send-dump=host Send dump to a host
-n, --recv-dump=host Receive dump on a host
-d, --wait-dump=host Wait on a host and send
-t, --ts Display time stamps
-a, --ascii Dump data in ascii
-x, --hex Dump data in hex
-X, --ext Dump data in hex and ascii
-R, --raw Dump raw data
-C, --cmtp=psm PSM for CMTP
-H, --hcrp=psm PSM for HCRP
-O, --obex=channel Channel for OBEX
-P, --ppp=channel Channel for PPP
-D, --pppdump=file Extract PPP traffic
-A, --audio=file Extract SCO audio data
-B, --btsnoop Use BTSnoop file format
-V, --verbose Verbose decoding
-Y, --novendor No vendor commands or events
-N, --noappend No appending to existing files
-4, --ipv4 Use IPv4 as transport
-6 --ipv6 Use IPv6 as transport
-h, --help Give this help list
--usage Give a short usage message
Nokia-N900-42-11:~# hcidump -w hcidump-test.cap
HCI sniffer - Bluetooth packet analyzer ver 1.42
device: hci0 snap_len: 1028 filter: 0x0
^C
Nokia-N900-42-11:~# ls -ltr
-rw-r--r-- 1 root root 16613337 Dec 13 13:55 hcidump-test.cap
Jeg prøvede at åbne filen i Wireshark og den åbner fint, men afkodningen er ret basal. I developer tools er der yderligere arping, traceroute osv. Så platformen, som er bygget på Linux og vist med en open source Wireless driver denne gang!, er godt på vej til at blive spændende.
Nu kunne man jo fortsætte i samme stil og opremse hvad en N900 kunne bruges til, men pointen er (i modsætning til iPhøne) at en N900/N810 er en Linux baseret platform og mange af vores sædvanlige værktøjer kan oversættes til denne platform, med få eller ingen ændringer.
Kort konklusion er altså at man ikke behøver en hel computer, selvom netbooks er små, men at håndholdte begynder at kunne nok til at lave pentest on the road - mens man spiller Mahjoong hvis nogen spørger :-)
Posted by at CET 09:12 12/12/2009 in Toolbox entries
[Trackback URL for this entry]
