Da ich vor kurzem ein Tutorial auf meinem Blog ein Tutorial geschrieben habe wie man einen Stealer Snifft, poste ich es auch mal hier.

Ich hoffe, es interessiert den ein oder anderen von euch.

Als meinen Stealer benutze ich den Tool-Store 2.5 Public Stealer.


Schritt 1 – Stealer Builden:

http://null-sector.info/data/stealersniff/1.png (http://null-sector.info/data/stealersniff/big/1.png)

Sollte sich eigentlich selbst erklären, oder?


Schritt 2 – FTP-Daten testen

http://null-sector.info/data/stealersniff/2.png (http://null-sector.info/data/stealersniff/big/2.png)

Na supi, führen wir das Ding mal aus und schauen ob ein Log erscheint.


Schritt 3 – Server.exe testen

http://null-sector.info/data/stealersniff/3.png (http://null-sector.info/data/stealersniff/big/3.png)

Log erscheint, Server.exe funktioniert.
Jetzt geht’s mit dem eigentlichen Sniffen los.


Schritt 4 – Wireshark zum Sniffen vorbereiten

http://null-sector.info/data/stealersniff/6.png (http://null-sector.info/data/stealersniff/big/6.png)

Wireshark starten (Falls ihr unter Linux keine Interfaces findet müsst ihr es als root starten).

http://null-sector.info/data/stealersniff/7.png (http://null-sector.info/data/stealersniff/big/7.png)

Nun müsst ihr euer Interface auswählen, mit dem ihr ins Internet geht.
In meinem Fall ist das wlan0.

http://null-sector.info/data/stealersniff/8.png (http://null-sector.info/data/stealersniff/big/8.png)

Jetzt sagen wir Wireshark noch, dass wir nur Pakete für Port 21 (FTP) haben wollen.
Wireshark ist bereit!


Schritt 5 – Sniffen

Wenn nun Wireshark läuft starten wir die Server.exe in der Virtuellen Maschiene.
http://null-sector.info/data/stealersniff/9.png (http://null-sector.info/data/stealersniff/big/9.png)

Nun werten wir die Logs von Wireshark aus.

http://null-sector.info/data/stealersniff/10.png (http://null-sector.info/data/stealersniff/big/10.png)

Hier hätten wir nun das, was der Stealer über Port 21 übertragen hat.
Man erkennt schon mit dem ersten Blick, wie die Logindaten sind.
USER nullsector@stealer.tut
PASS nullsect0r

Die IP bekommt man aus der Spalte “Destination”.


Schritt 6 – Auf den FTP Verbinden

http://null-sector.info/data/stealersniff/13.png (http://null-sector.info/data/stealersniff/big/13.png)

Wir haben soeben den Stealer erfolgreich gesnifft und haben die FTP-Daten bekommen.

Herzlichen Glückwunsch : )


Wenn es euch gefällt könnt ihr ja ein thx geben :)

möchte dein TUT nicht schlecht reden ist natürlich sehr schön gemacht, aber istealer arbeitet z.B. mit einem php formular daher nicht wirklich login daten sniffbar.

Bekommst natürlich trotzdem ein THX.

Finde ich gut, leider sehr schwer heutzutage FTP Stealer zu finden :P (Falls wer einen guten Weg kennt, her damit, meistens werden die klassischen Faketools auf sharecash gehostet :( )

Wireshark starten (Falls ihr unter Linux keine Interfaces findet müsst ihr es als root starten).
Ich will ja nicht klugscheissen, aber als Linux-Nutzer kannst du den Stealer sowieso nicht ausführen :P

Ich will ja nicht klugscheissen, aber als Linux-Nutzer kannst du den Stealer sowieso nicht ausführen :P

Dann hast du wohl keine Ahnung.
Für Linux gibt es auch Wine & Co.
Ist zwar dann nicht direkt mit Linux ausgeführt aber eine Möglichkeit die es möglich macht auf Linux eine exe auszuführen.

Ich will ja nicht klugscheissen, aber als Linux-Nutzer kannst du den Stealer sowieso nicht ausführen :P

Für sowas gibts ja VMs ;)


aber istealer arbeitet z.B. mit einem php formular daher nicht wirklich login daten sniffbar.

fast alle Stealer Panel sind pwnbar

Für sowas gibts ja VMs ;)

Aber Wireshark wirst du dann wahrscheinlich auch in der VM ausführen, oder?
Oder wie machst du das? Das interessiert mich jetzt :P

Und Stealer über Wine? Oo Du setzt für den Stealer ne VM auf und da spielst du nicht das kompatible Windows auf sondern für einen Windows Stealer spielst du Linux auf? Na dann Prost...

Mensch warum denkst du so kompliziert?
Wenn du mit Linux lieber arbeitest oder es sogar als standardmäßiges Betriebssystem hast,warum solltest du dann kein Wine installieren?

Ist doch egal warum oder wie man es macht. Hauptsache man führt es auf Linux als root aus ;)

Wireshark auf Linux und den Stealer in der vm

Mensch warum denkst du so kompliziert?
Wenn du mit Linux lieber arbeitest oder es sogar als standardmäßiges Betriebssystem hast,warum solltest du dann kein Wine installieren?
Weil du keine Stealer auf deinem System ausführst?

Noch ein kleiner Nachtrag:
Man findet in Usenext ab und an noch Stealer die die logs an FTP senden.

Und wenn jemand von euch Linux hat und beim Wireshark start keine Netzwerkgeräte findet -> Als root ausführen. Hab mich auch anfangs bisschen gewundert ^^

Weil du keine Stealer auf deinem System ausführst?

Du sagst mir was ich zu tun habe und was nicht? Gut zu wissen.
Ich führe auf meinem System aus was ich will.

klar als ob er dir was vorschreiben kann^^

Außerdem gibt es doch schon sau viele Tuts mit Wireshark oder Cain & Abel und Fileanalyzer etc. ?

Was solls ^^

Du sagst mir was ich zu tun habe und was nicht? Gut zu wissen.
Ich führe auf meinem System aus was ich will.
Tu das, darf ich dir auch gerade meine Server.exe schicken?

fast alle Stealer Panel sind pwnbar



Ich hab nichts anderes behauptet ;)
Ich sagte nur, dass es mit dem sniffen dann nichts wird.
;)

Tu das, darf ich dir auch gerade meine Server.exe schicken?

Ja gerne. Aber bitte gecrypted. Sonst meckert mein AV immer rum. Ist nicht so cool.
Villeicht können wir ja tauschen und ich schick dir auch meine. Villeicht lege ich dir die unter den Weihnachtsbaum mit Geschenkpapier schick eingewickelt.
Musst du wissen.

Also bei Stealern grundsätzlich Cain&Able das geht wesentlich schneller beim FTP Sniffen.
Ansonsten sind es Maschinen ohne e :P

Und ja.. danke für die Mühe ;)