HACKNET Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
Mails et anonymisers

 
Répondre au sujet    HACKNET Index du Forum » hacking totu » totu hacking general Sujet précédent
Sujet suivant
Mails et anonymisers
Auteur Message
HACKERNET
------->Admin<--------
------->Admin<--------

Hors ligne

Inscrit le: 28 Juin 2008
Messages: 75

Message Mails et anonymisers Répondre en citant
Mails et anonymisers
Certains se demandent peut etre comment est fait un mail, dans sa contexture.
D’autres cherchent des méthodes pour envoyer des mails annonyme, ou pensent en avoir une infaillible…
D’autres encore se demandent qui peut bien se cacher derriere les fake mails qu’ils recoivent…

Je vais essayer d apporter quelques eclaircissements…

Tout d’abord, sachez qu’on va travailler sur les header de mail, les entetes de messages. Alors pour les plus doués d’entre nous, on trouve ce header sous Outlook par un clik droit, puis options sur le message en question. Tout simplement.



Pour commencer, voyons un header tout ce qu’il y a de plus normal, rien a cacher, votre
Maman qui est chez Wanadoo vous écrit par exemple vous etes hackerdemaman et vous avez un compte mail chez free ( je vais essayer de mettre ceci avec des infos de fournisseurs francais, cela vous parlera mieux. ) :

Return-Path: <maman@wanadoo.fr>
Delivered-To:
online.fr-hackerdemaman@free.fr
Received: (qmail 7254 invoked from network); 15 Dec 2003 11:47:03 -0000
Received: from smtp6.wanadoo.fr (HELO mwinf0605.wanadoo.fr) (193.252.22.25)
by mrelay4-1.free.fr with SMTP; 15 Dec 2003 11:47:03 -0000
Received: from mwinf0601.wanadoo.fr (mwinf0601 [172.22.137.23])
by mwinf0605.wanadoo.fr (SMTP Server) with ESMTP id A8471C001C33
for <hackerdemaman@free.fr>; Mon, 15 Dec 2003 12:47:03 +0100 (CET)
Received: from mamancomputer (AStrasbourg-106-1-1-158.w81-250.abo.wanadoo.fr [81.250.134.158])
by mwinf0601.wanadoo.fr (SMTP Server) with ESMTP id BC63B3400093
for <hackerdemaman@free.fr>; Mon, 15 Dec 2003 12:46:59 +0100 (CET)
From: "maman" <maman@wanadoo.fr>
To: <hackerdemaman@free.fr>
Subject: Czesc !
Date: Mon, 15 Dec 2003 12:47:25 +0100
Message-ID: <000001c3c301$358fdc70$9e790b50@mamancomputer>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0001_01C3C309.97544470"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165


A present détaillons :

Return-Path: c’est le chemin de retour, c’est a dire l’adresse ou doit etre renvoyé toute réponse, émanant du systeme (cas de l’accusé de reception) ou volontaire (cas du Re:soit sage !)

Delivered-To:
online.fr-hackerdemaman@free.fr
Ce message sera délivré à
hackerdemaman@free.fr, il sera stocké sur les servers de online.fr… et oui, c’est Free !


Received: (qmail 7254 invoked from network); 15 Dec 2003 11:47:03 -0000
Comme le message a du transiter par differents ISP, voici la ligne qui le signale.

Received: from smtp6.wanadoo.fr (HELO mwinf0605.wanadoo.fr) (193.252.22.25)
by mrelay4-1.free.fr with SMTP; 15 Dec 2003 11:47:03 -0000

Le server par lequel a transité ce message (le from), avant d’arriver sur votre machine. C’est un dns de server secondaire SMTP de Wanadoo, qui est en fait le veritable fournisseur d’acces de hackerdemaman (le petit malin a donc une boite chez Free, mais en réalité se connecte avec Wanadoo, comme Maman !), et dont la fonction est de récuperer le message d’un autre ISP
C’est le server SMTP de Free qui lui a remis (le By)

Received: from mwinf0601.wanadoo.fr (mwinf0601 [172.22.137.23])
by mwinf0605.wanadoo.fr (SMTP Server) with ESMTP id A8471C001C33
for <hackerdemaman@free.fr>; Mon, 15 Dec 2003 12:47:03 +0100 (CET)

… ce message devra donc etre remis a l’ordinateur de hackerdemaman, en transitant en dernier par le server Wanadoo mwinf0605.wanadoo.fr (le By). Ca colle, c’est l’info qui est donnée dans le premier « Received ». Le from (mwinf0601.wanadoo.fr) vous indique a quel server celui qui a ecrit le message l’a remit pour son transit sur le reseau.


Received: from mamancomputer (AStrasbourg-106-1-1-158.w81-250.abo.wanadoo.fr [81.250.134.158])
by mwinf0601.wanadoo.fr (SMTP Server) with ESMTP id BC63B3400093
for <hackerdemaman@free.fr>; Mon, 15 Dec 2003 12:46:59 +0100 (CET)

… et voila le plus important : ce message est parti d’ un ordinateur identifie sur le reseau comme « mamancomputer », et votre maman est une abonnée Wanadoo habitant a strasbourg. En plus, on apprend ici aussi son Ip 81.250.134.158. C’est le From.
Ce message est pris en charge par le server mwinf0601.wanadoo.fr de Wanadoo. C’est le By.
Il doit etre remis à
hackerdemaman@free.fr. C’est le For.


Ici j’insiste, apprenez a reperer cette ligne de received parmis tourtes celles que peut contenir un message, car parfois les transits sont tellement long que vous pouvez facilement vous y perdre lorsque vous remontez le trajet du message.
En general, c’est le dernier Received (avant dernier dans le cas d’un message a travers Proxy)

Vous verrez plus loin dans le cas des programmes soit disant anonymizers que cette ligne existe quand meme, elle est obligatoire dans le fonctionnement du mailling. Si vous formatez vous-même un Header, vous pouvez d’ailleur mettre a peu pres n’importe quoi dans les differentes entrées, SAUF dans celles-ci, qui sont vitales au message sous peine de se le voir retourné dans la figure…

From: "maman" <maman@wanadoo.fr>
To: <hackerdemaman@free.fr>
Subject: Czesc !

Ca, c’est les infos que les anonymizers vont modifier. C’est celles-ci qui apparaissent dans votre lecteur de mail (Outlook par exemple). En fait elle n’ont strictement aucune incidence sur le message ou son voyage dans le Net, elles servent juste a l’affichage. Vous pouvez les formater comme ceci :

From : <agedechèvre>
To :<mate>

Votre message partira sans aucun probleme.

De meme, les infos suivantes sont les versions utilisées dans le formatage du message, et sont aussi purement indicatives. Les anonymizers les changent aussi si vous voulez, mais c’est aussi de la poudre aux yeux, sauf si vous souhaitez cacher que vous utilisez Outlook pour ecrire vos mails !


Voila donc comment Maman a écrit a son fils Hackerdemaman.

Voyons a present ce qui se passe lorsqu’on utilise des maillers anonymes :



avec anonimail :


Return-Path: <cenestpasmaman@moncul.org>
Received: from mwinf0504.wanadoo.fr (mwinf0504.wanadoo.fr)
by mwinb0302 (SMTP Server) with LMTP; Wed, 10 Dec 2003 17:54:00 +0100
X-Sieve: Server Sieve 2.2

Received: from mamancomputer (AStrasbourg-106-1-18-163.w81-250.abo.wanadoo.fr [81.250.134.163])
by mwinf0504.wanadoo.fr (SMTP Server) with SMTP id 32644100050A
for <hackerdemaman@wanadoo.fr>; Wed, 10 Dec 2003 17:54:00 +0100 (CET)

From: anonimail <cenestpasmaman@moncul.org>
To:
hackerdemaman@wanadoo.fr
Subject: test avec anonimail
X-Mailer: ???????
Reply-To:
cenestpasmaman@moncul.org
Mime-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Message-Id: <20031210165400.32644100050A@mwinf0504.wanadoo.fr>
Date: Wed, 10 Dec 2003 17:54:00 +0100 (CET)


Je vous ai mis en evidence le Received interressant. Vous voyez ? Ici on change seulement les infos qui apparaissent a l’écran, et on cache le prog qui a servi a formater le message (X-Mailer: ???????)

Maman n’est pas anonyme pour autant…


avec euthanasia

Return-Path: <cenestpasmaman@moncul.org>
Received: from mwinf0502.wanadoo.fr (mwinf0502.wanadoo.fr)
by mwinb0302 (SMTP Server) with LMTP; Wed, 10 Dec 2003 18:05:38 +0100
X-Sieve: Server Sieve 2.2

Received: from NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ NJORD____NJORD____NJORD__ (AStrasbourg-106-1-18-163.w81-250.abo.wanadoo.fr [81.250.134.163])
by mwinf0502.wanadoo.fr (SMTP Server) with SMTP id C170EE8002F1
for <hackerdemaman@wanadoo.fr>; Wed, 10 Dec 2003 18:05:37 +0100 (CET)

To:
hackerdemaman@wanadoo.fr
From:
cenestpasmaman@moncul.org
Subject: test euthanasia
Reply-To:
maman@wanadoo.fr
X-Mailer: Microsoft Outlook Express 4.71.0544.0
Message-Id: <20031210170537.C170EE8002F1@mwinf0502.wanadoo.fr>
Date: Wed, 10 Dec 2003 18:05:37 +0100 (CET)


Celui-ci, Euthanasia, sort du lot. Vous voyez qu’il tente de flooder le From du Received interressant.
Cependant, les infos primordiales sont là ! et oui, maman ne peut pas ne pas dire qu’elle a ecrit ceci sur son ordinateur, du moment que ce messa&ge part de chez elle ! (nous y reviendront, vous commencez a comprendre l’astuce je pense…)

D’autre part, on remarque un flag « Reply To ».
Euthanasia vous propose de cacher votre Ip ( !) et de vous faire suivre la réponse a votre vraie adresse, tout en affichant une fausse adresse de réponse (Return-Path:
cenestpasmaman@moncul.org dans notre exemple )

Ca n’empèche pas que si vous faites cela, bien joué, vous etes bien bien bien grillé !!!

Un bon point quand meme, ce prog vous permet de choisir quel mailer apparaitra ( X-Mailer: Microsoft Outlook Express 4.71.0544.0) et cette fonction est efficace.

Voici enfin pour les programmes Atomic Mail

Return-Path: <cenestpasmaman@doe.com>
Received: from mwinf0103.wanadoo.fr (mwinf0103.wanadoo.fr)
by mwinb0302 (SMTP Server) with LMTP; Mon, 15 Dec 2003 09:39:38 +0100
X-Sieve: Server Sieve 2.2

Received: from AStrasbourg-106-1-14-209.w81-248.abo.wanadoo.fr (AStrasbourg-106-1-14-209.w81-248.abo.wanadoo.fr [81.250.134.209])
by mwinf0103.wanadoo.fr (SMTP Server) with SMTP id 843271BFFF63
for <hackerdemaman@wanadoo.fr>; Mon, 15 Dec 2003 09:39:37 +0100 (CET)

Reply-To: "cenestpasmaman" <cenestpasmaman@doe.com>
From: "cenestpasmaman" <cenestpasmaman@doe.com>
To:
hackerdemaman@wanadoo.fr
Subject: jestem bardzo zadowolony, ze pani widze
Date: Mon, 15 Dec 2003 09:40:02 +0100
Organization:
Mime-Version: 1.0
Content-Type: multipart/alternative; boundary="----=_NextPart_000_0034_01C221EC.6C64F7B0"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: MIME-tools 4.104 (Entity 4.116)
X-MimeOLE: Produced by Microsoft MimeOLE V6.00.2800.1165
Message-Id: <20031215083937.843271BFFF63@mwinf0103.wanadoo.fr>


Dans ce cas, non seulement maman n’évite toujours pas de voir son identité et son ip dévoilés, mais en plus dans l’adressage en retour, ce mailer utilise la fausse adresse email ! (Reply-To: "cenestpasmaman"
cenestpasmaman@doe.com )
Maman n’aura meme pas la satisfaction d’avoir la réponse de son fils...
En revanche, bon point aussi, il permet l’inscription d’un fake mailer réaliste : X-Mailer: MIME-tools 4.104 (Entity 4.116



Je résume… Jettez a la poubelle ces mailers soit disant anonymes !


Quelles solutions reste il alors ?...

Passer par un Proxy rend il les mails anonymes ? Voyons un exemple, alors :

Received: from mwinf0104.wanadoo.fr (mwinf0104.wanadoo.fr)
by mwinb0302 (SMTP Server) with LMTP; Wed, 10 Dec 2003 14:34:04 +0100
X-Sieve: Server Sieve 2.2
Received: from mamancomputer (pcp01873025pcs.hatisb01.ms.comcast.net [68.63.210.193])
by mwinf0104.wanadoo.fr (SMTP Server) with ESMTP id 8E0941800290
for <hackerdemaman@wanadoo.fr>; Wed, 10 Dec 2003 14:34:03 +0100 (CET)
Received: from girls [192.168.0.153] by wanadoo.fr with eSMTP;
Wed, 10 Dec 2003 07:33:59 -0600

Je vous met juste les Received, c’est ce qui compte. Que voit on ?
Dans ce cas, le received From-By-For est toujours present, mais il n’est pas en derniere position. Le dernier Received introduit le routage via proxy, mais ne change rien au probleme…


Mais quel est ce probleme, en fait ?
Il vient du fait que lors de la rédaction du message, quel que soit le logiciel que vous utilisez, celui-ci prendra votre texte, y rajoutera un Header, et l’enverra sur le net. Depuis VOTRE ordinateur, et cela vous ne pourrez rien y changer.

Alors la solution unique consiste en envoyer votre mail DEPUIS un AUTRE ordinateur, qui formatera un Header correspondant a cette machine. Pour ceci deux solutions :

1- soit vous utilisez une machine hackée que vous avez en remote (genre DameWare), mais cela suppose que vous fassiez ceci pour des raisons serieuses. On est loin de la blague a son copain ! ceux qui voient de quoi je parle comprendront, ce n’est pas le sujet ici.
2- Soit vous pouvez utiliser certains services du net. Pourquoi eux ils marchent ? Tout simplement parceque vous ne tapez pas un mail en réalité, vous tapez un texte exactement comme lorsque vous postez sur ce forum, ce texte est uploadé sur le site, avec les chois que vous avez fait en destinataire, en fausses infos etc et seulement là, un vrai mail est formaté depuis le server de ce site et envoyé.
Je vous traduit cela autrement : Maman me donne a moi le texte du message qu’elle envoie a son fils et MOI je l’envoie (dans cet exemple, c’est moi le site). Ainsi personne ne sait que ce message, c’est Maman qui m’a dit de l’envoyer. Personne… Sauf moi ! rien ne m’empeche de vendre la mèche, comme rien n’empeche ces sites de divulguer votre identité. Eux savent tres bien qui leur a remis ce message !

Voici un Header recu via un site anonymiser :


Return-Path: <anonymous@m1.netfirms.com>
Received: from mwinf0601.wanadoo.fr (mwinf0601.wanadoo.fr)
by mwinb0302 (SMTP Server) with LMTP; Mon, 15 Dec 2003 10:31:14 +0100
X-Sieve: Server Sieve 2.2
Received: from m1.netfirms.com (m1.netfirms.com [66.48.76.114])
by mwinf0601.wanadoo.fr (SMTP Server) with SMTP id 9C1C4180005C
for <hackerdemaman@wanadoo.fr>; Mon, 15 Dec 2003 10:31:13 +0100 (CET)
Received: (qmail 83439 invoked from network); 15 Dec 2003 09:31:13 -0000
Received: from unknown (@192.168.60.3)
by m1.netfirms.com with QMQP; 15 Dec 2003 09:31:13 -0000
Date: 15 Dec 2003 09:31:13 -0000
Message-ID: <20031215093113.54612.qmail@cgi2>
To:
hackerdemaman@wanadoo.fr
From:
gutek@hacking.pl
Subject: test


LA, vous pouvez y aller, c’est imparable ! sauf que le site que j’ai utilisé sait que c’est moi qui lui ait donné ceci. Il faut donc rester Safe et etre anonyme au possible lors de la connection au site en question.


Pour finir avec ce tuto, je vous parle du Bounce de découverte.


La plupart des serveurs de messagerie (SMTP et News) rajoutent aux messages qu.ils véhiculent des informations de diagnostic, masquées ensuite par le logiciel client de l.utilisateur.
Ainsi, les en-têtes des e-mails comportent non seulement expéditeur, destinataire, mais aussi tout le cheminement du message au travers des serveurs de messagerie. Typiquement, chaque serveur rajoute au message une en-tête From : décrivant le serveur (adresse IP locale, identification du logiciel et numéro de version) et l.heure de passage. Il en est de même pour les messages NNTP tels que ceux postés sur Usenet.
Une technique classique de découverte consiste à envoyer un e-mail de reconnaissance à une adresse invalide du domaine cible. L.e-mail est très souvent retourné à son expéditeur avec un message d.erreur, d.où le nom de bounce. L.examen des en-têtes présents dans le mail retourné va donc donner au pirate des informations importantes comme les versions des serveurs de messagerie externes, les adresses, noms et versions des serveurs de messagerie
internes. Ces renseignements seront utiles par la suite lors des attaques et de la progression dans le système d.information compromis.

Received: from relais.x.com ([1.2.3.4]) by smtp.Secway.com (smap) with SMTP id QAA21414 for
; Fri, 11 Aug 2000 16:20:06 0400
Received: from 192.1.1.20 by relais.x.com (InterScan E-Mail VirusWall NT); Fri, 18 Aug 2000
18:11:44 0200 (Paris, Madrid (heure d'été))
Received: by mail.x.com(Lotus SMTP MTA SMTP v4.6 (462.2 9-3-1997)) id C1256938.0043AF89 ; Fri, 11
Aug 2000 14:19:18 0200

Les bases sont séparées géographiquement en: RIPE (Europe):
http://www.ripe.net, ARIN (Amérique du
Nord/Sud/Centrale, Caraibes, Afrique sous saharienne):
http://www.arin.net, APNIC (Asie, Pacifique):
http://www.apnic.net

voici un Header provenant d'un message formaté depuis un compte Hotmail (type de server HTTP)


Return-Path: <maman@hotmail.com>
Received: from mwinf0603.wanadoo.fr (mwinf0603.wanadoo.fr)
by mwinb0302 (SMTP Server) with LMTP; Mon, 15 Dec 2003 17:03:08 +0100
X-Sieve: Server Sieve 2.2
Received: from hotmail.com (bay8-dav42.bay8.hotmail.com [64.4.26.100])
by mwinf0603.wanadoo.fr (SMTP Server) with ESMTP id D15CB18000B6
for <hackerdemaman@wanadoo.fr>; Mon, 15 Dec 2003 17:03:06 +0100 (CET)
Received: from mail pickup service by hotmail.com with Microsoft SMTPSVC;
Mon, 15 Dec 2003 08:03:06 -0800
Received: from 80.11.121.158 by bay8-dav42.bay8.hotmail.com with DAV;
Mon, 15 Dec 2003 16:03:05 +0000
X-Originating-IP: [81.11.221.158]
X-Originating-Email: [maman@hotmail.com]
X-Sender:
maman@hotmail.com
From: "maman" <maman@hotmail.com>
To: <hackerdemaman@wanadoo.fr>
Subject: Czesc A.K. !
Date: Mon, 15 Dec 2003 17:03:28 +0100
Organization: Hacking.pl
Message-ID: <000001c3c324$faad82a0$9e790b50@sentry>
MIME-Version: 1.0
Content-Type: multipart/related;
boundary="----=_NextPart_000_0001_01C3C32D.5C737140"
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook, Build 10.0.2627
Importance: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165
X-OriginalArrivalTime: 15 Dec 2003 16:03:06.0002 (UTC) FILETIME=[ED106720:01C3C324]


La, c'est la totale ! hotmail rajoute un flag

X-Originating-IP: [81.11.221.158]
X-Originating-Email: [maman@hotmail.com]
X-Sender:
maman@hotmail.com

impossible de tricher, c'est propre a hotmail.
En plus, avec un peu de chance et si maman a bien configuré son compte sur le server HTTP, on a en plus ce flag :


 



Dim 29 Juin - 16:30 (2008)
Publicité






Message Publicité
PublicitéSupprimer les publicités ?

Dim 29 Juin - 16:30 (2008)
Montrer les messages depuis:    
Répondre au sujet    HACKNET Index du Forum » hacking totu » totu hacking general Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers: 

Portail | Index | creer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.Traduction par : phpBB-fr.com