Поделитесь первыми 16 байтами Keyvault и снятым трафиком с бокса

[Alex_16 0]

автор,ты хочешь найти способ разбана боксов?Если так,то помогу,чем согу.

зачем всегда задавать тупые вопросы и показывать что ты не очень умный. :lol: :lol:

[zhe2107 0]

зачем всегда задавать тупые вопросы и показывать что ты не очень умный. :lol: :lol:

ВСЕГДА??

Вопрос ИМХО не тупой.

Всё возможно

[alxxbx 0]

народ, помогайте искать в KeyVault хеш сетевого пароля

 

/*

Kerberos V5 for Windows - Password Cracking Approach

 

* checksum = first 16 bytes of ENC_PA_ENC_TIMESTAMP

* encrypted_data = ENC_PA_ENC_TIMESTAMP starting at byte 17 (i.e. ENC_PA_ENC_TIMESTAMP without the checksum)

* pwd: the round password being tried

 

see RFC 4757 for details ..

 

PA_ENC_TIMESTAMP

If clear_data contains an UTC timestamp starting at byte 15 (in the format YYYYMMDDHHMMSSZ), you've got it.

check the first 4 bytes if equal to year packet was captured, if true, calculate the checksum

and compare with packet to be sure.

 

K = 5EB9781973FDF67A3DA6A6CB95DC5394

K1 = A7558D65959E0B76A85BB61F58875E42

K3 = BEB76DD8EA246B2FA0CB0973F582E569

Timestamp = 20081120171510Z

Checksum of clear_data = 02E837D06B2AC76891F388D9CC36C67A

password = fr2beesgr

 

*/

 

using System;

using System.Collections.Generic;

using System.Linq;

using System.Text;

using System.Security.Cryptography;

using LLCryptoLib.Security.Cryptography;

 

namespace ConsoleApplication1

{

class Program

{

static void Main(string[] args)

{

Console.BufferHeight = 32760;

 

//Test100%

//byte[] K = new byte[16];

//byte[] K1 = new byte[16];

//byte[] K3 = new byte[16];

//byte[] T = { 1, 0, 0, 0 };

 

//byte[] ts_checksum = { 0x02, 0xE8, 0x37, 0xD0, 0x6B, 0x2A, 0xC7, 0x68, 0x91, 0xF3, 0x88, 0xD9, 0xCC, 0x36, 0xC6, 0x7A };

//byte[] enc_data = { 0x2A, 0x97, 0x85, 0xBF, 0x50, 0x36, 0xC4, 0x5D, 0x38, 0x43, 0x49, 0x0B, 0xF9, 0xC2, 0x28, 0xE8,

// 0xC1, 0x86, 0x53, 0xE1, 0x0C, 0xE5, 0x8D, 0x7F, 0x8E, 0xF1, 0x19, 0xD2, 0xEF, 0x4F, 0x92, 0xB1,

// 0x80, 0x3B, 0x14, 0x51 };

 

//byte[] test_chsum = new byte[16];

//byte[] clear_data = new byte[36];

 

//string strpwd = "fr2beesgr";

//byte[] uni_pwd = new byte[16];

//byte[] pwd = UnicodeEncoding.Unicode.GetBytes(strpwd);

//K = new MD4CryptoServiceProvider().ComputeHash(pwd, 0, pwd.Count());

 

//HMACMD5 hmac_md5 = new HMACMD5();

//hmac_md5.Key = K;

//K1 = hmac_md5.ComputeHash(T, 0, 4);

 

//hmac_md5.Key = K1;

//K3 = hmac_md5.ComputeHash(ts_checksum, 0, 16);

 

//clear_data = RC4(K3, enc_data);

 

 

//XBOX360

byte[] K = new byte[16];

byte[] K1 = new byte[16];

byte[] K3 = new byte[16];

byte[] T = { 1, 0, 0, 0 };

byte[] ts_checksum = { вставить первые 16 байт из 52 байтной временной метки };

byte[] enc_data = { вставить следующие 36 байт временной метки };

byte[] HmacMess = { вставить 16-ти байтный хеш пароля };

 

HMACMD5 hmac_md5 = new HMACMD5();

hmac_md5.Key = HmacMess;

K1 = hmac_md5.ComputeHash(T, 0, 4);

 

hmac_md5.Key = K1;

K3 = hmac_md5.ComputeHash(ts_checksum, 0, 16);

 

byte[] clear_data = new byte[36];

clear_data = RC4(K3, enc_data);

 

byte[] test_chsum = new byte[16];

 

 

 

string strTimestamp = "";

for (int i = 0; i < 35; i++) strTimestamp += Convert.ToChar(clear_data);

Console.WriteLine("Decrypted Timestamp: {0}", strTimestamp);

test_chsum = hmac_md5.ComputeHash(clear_data, 0, clear_data.Count());

dump("test_chsum", test_chsum);

Console.ReadLine();

}

 

private static void dump(string str, byte[] digest)

{

Console.Write("\n{0} = ", str);

for (int i = 0; i < digest.Count(); i++) Console.Write("{0} ", digest.ToString("X2"));

Console.Write("\n");

}

 

private static byte[] RC4(byte[] K3, byte[] InInfo)

{

byte[] OutInfo = new byte[inInfo.Count()];

byte[] S = new byte[256];

for (int i = 0; i <= 255; i++) S = Convert.ToByte(i);

int j = 0;

for (int i = 0; i <= 255; i++)

{

j = (j + S + K3[i % K3.Count()]) & 255;

byte t = S;

S = S[j];

S[j] = t;

}

int Q1, Q2;

Q1 = Q2 = 0;

for (int i = 0; i != InInfo.Count(); i++)

{

Q1 += 1 & 255;

Q2 = (Q2 + S[Q1]) & 255;

byte t = S[Q1];

S[Q1] = S[Q2];

S[Q2] = t;

OutInfo = Convert.ToByte(InInfo ^ S[(S[Q1] + S[Q2]) & 255]);

}

return OutInfo;

}

}

}

[raketnik 0]

Ого сколько непонятных буковак :biggrin:

P.S. Извините, не удержался.

Изменено 29 июня 2010 пользователем raketnik

[tolyan2006 0]

сорри, невнимательно прочитал пост Изменено 29 июня 2010 пользователем tolyan2006

[Sulako 0]

alxxbx, поподробней пожалуйста. Как помогать то?

Откуда брать "52 байтную временную метку", "16-ти байтный хеш пароля" ?

[alxxbx 0]

alxxbx, поподробней пожалуйста. Как помогать то?

Откуда брать "52 байтную временную метку", "16-ти байтный хеш пароля" ?

 

 

сложный вариант, но 100%

http://ifolder.ru/18356857

 

1. после скачивания из архива установить WinPcap и dotNetFx40

2. на ХВОХ360 настроить шлюз и DNS на IP адрес PC

3. запустить на РС - XBOX360CLE

4. запустить на ХВОХ360 проверку соединения с лайвом (в инет пакеты не идут)

4. взять 52 байтную временную метку из первого пакета в файле snif_traffic.txt

 

16-ти байтный хеш пароля где-то в KeyVault

Изменено 29 июня 2010 пользователем alxxbx

[Sulako 0]

но keyvault же зашифрован ключом CPU, разве нет?

неохота светить свой фрибутнутый бокс в лайве, может есть уже готовые данные?

[alxxbx 0]

если кто поделится расшифрованным KeyVault и трафиком снятым моей программой (можно с бокса под freeboot) могу и сам перебрать программно 16 килобайт и найти где лежит хеш пароля.

 

внимание! XBOX360CLE в интернет не лезет, работает локально!

Изменено 29 июня 2010 пользователем alxxbx

[alxxbx 0]

неужели нет людей кто поможет найти положение хеша сетевого пароля в keyvault?

[atem32 0]

народ давайте все соберемся и поможем человеку!

очень уж идея хорошая,вот только сам я не смогу помочь(руки кривоваты чтобы нанд снимать) :sorry:

НАРОД ПОМОГИТЕ ЧЕЛОВЕКУ ОН И ТАК ЗА ВСЕХ ВСЁ ДЕЛАЕТ!!!

Изменено 30 июня 2010 пользователем atem32

[hagis 0]

без проблем могу выложить дамп и цпу ключ С фалькона или ксенона... дальше уже сами вшивайте его в свой фрибокс

[Sulako 0]

alxxbx, трафик отснифил. Метка есть. Сегодня вечером расшифрую KV и поищу там.

[Sulako 0]

Перебрал все последовательности по 16 байт из расшифрованного KV, смещаясь по 1 байту. Ничего.

Попробовал считать их за пароли, длиной от 1 до 64 байт, вычислять от них хэш и пробовать его. Тоже ничего.

Либо я чего то не то делаю, либо KV не содержит пароля/хеша в открытом виде.

[Mikulio 0]

я пожалуй тут отпишусь)

чтобы стать надеюсь частью истории :biggrin: :biggrin: :biggrin:

[alxxbx 0]

Перебрал все последовательности по 16 байт из расшифрованного KV, смещаясь по 1 байту. Ничего.

Попробовал считать их за пароли, длиной от 1 до 64 байт, вычислять от них хэш и пробовать его. Тоже ничего.

Либо я чего то не то делаю, либо KV не содержит пароля/хеша в открытом виде.

 

У меня такой же косяк. Смещаясь по 1 байту прошелся по KeyVault и нихрена, при том что использовал протокол дешифрования метки именно Kerberos v5. В моей программе есть пример с отснифенным пакетом при логине по Kerberos v5, дешифруется на ура.

Если kv.bin не содержит пароля тогда где он? Читал на буржуйских сайтах, что хеш пароля для сетевых игр в самой игре лежит.

Решил прогнать весь НАНД со смещением в 1 байт. Вечером попробую.

 

без проблем могу выложить дамп и цпу ключ С фалькона или ксенона... дальше уже сами вшивайте его в свой фрибокс

 

спасибо. пока не надо, сейчас с фрибутного бокса трафик и дамп исследую.

[Sulako 0]

alxxbx

Если надо, могу скинуть свой KV и лог трафика.

[alxxbx 0]

alxxbx

Если надо, могу скинуть свой KV и лог трафика.

 

кинь сообщение в личку со ссылкой.

 

ты моей программой снимал трафик?

[Sulako 0]

да. Отправил в личку. Просьба не светить ID консоли в лайве :) Изменено 2 июля 2010 пользователем Sulako

[alxxbx 0]

да. Отправил в личку. Просьба не светить ID консоли в лайве :)

 

помучаюсь и сотру :)

[alxxbx 0]

Кто может точно сказать, если в KV поменять чисто ID консоли и DVD key - полезет ли ящик в лайв? Мож блин внатуре на боксе в открытом виде нет хеша пароля аутентификации в лайв? Или он для всех ящиков одинаков...

[Sulako 0]

мне думается, что если там на стороне сервера идет расшифровка по RC4 - то ключ должен быть известен и боксу и серверу, а значит либо быть всегда одинаков, либо вычисляться на основе пересланных перед авторизацией данных...

[alxxbx 0]

мне думается, что если там на стороне сервера идет расшифровка по RC4 - то ключ должен быть известен и боксу и серверу, а значит либо быть всегда одинаков, либо вычисляться на основе пересланных перед авторизацией данных...

 

известен боксу он 100%, но типа 16 байт подряд в нанде не лежит :)

 

вообще я не представляю NT домен с Kerberos авторизацией и кучей миллионов учетных записей :)

смотришь у админов 500 записей в домене и то уже много кажется :)

[Sulako 0]

а бокс что нибудь сообщает серверу о себе перед авторизацией?

[alxxbx 0]

а бокс что нибудь сообщает серверу о себе перед авторизацией?

 

несовсем понятно, но похоже что-то сообщает.

 

перед аутентификацией с сервера приходят какие-то 16 байт, похоже они каким-то образом влияют при шифрации пакетов, в моем лайв эмуляторе это шестнадцать нулей

 

похоже они участвуют при формировании ключа шифрования

 

СМОТРИ EDATA в пакете от сервера

 

XBOX-------------------------------------------

Type (2) - Encrypted Timestamp Pre-authentication

EType: rc4-hmac (23)

Cipher: (изменяется) (52 байт)

4F E2 DC 9C D8 E5 CF F3 DB A4 CE 50 CE FA EA 91 F2 3E F6 94 7C D9 2A 1A BD 48 B5 AF 50 AD D4 E4 BD 44 70 2F 3B 5D EE C9 15 65 3C B4 B1 A1 FF 59 F7 60 7B 73

---

Type (131) -Unknown type

Tag0: FF (Unknown, неизменно)

Tag1: 0D/0E (Unknown, неизменно)

---

Type (204) -Unknown type

Изменяется: (48 байт)

AA 72 C6 E4 06 19 CB 01 7C 3E 3A AA 2D 8C BE 9F C5 73 CA 78 1C FE 57 AE E3 4A 7F 3D 80 16 52 0E 8A F4 65 C3 EC 59 C5 E3 B8 22 DF 57 46 5C 87 68

---

Type (205) -Unknown type (изменяется) (0 байт)

Консоль еще не аутентифицирована (205 отсутствует)

---

Type (206) -Unknown type

Не изменяются: (первые 20 байт)

71 29 FF FF 3D AC 48 03 9C BA AF D3 48 3A DD 09 26 50 E9 91

Не изменяются: (после 20 байт)

Xbox Version=2.00.9199.0 Title=0xFFFE07D1 TitleVersion=539225856

---

KdcOptions:

Padding: 0x00

KrbFlags: 0x00 0x01 0x00 0x00

Till(Time): 13.09.2037 02:48:05 UTC

Nonce (изменяется): (hex) 4C B7 DC 9D

EType: rc4-hmac (23)

Time: 01.07.2010 14:20:08

-----------------------------------------------

CLE--------------------------------------------

ErrorCode: 25

Stime(Time): 01.07.2010 10:20:08 UTC

EText: 9D DC B7 4C

EData: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Time: 01.07.2010 14:20:08