IP Adresse über ICQ sniffen:

[Blackdoor]

IP Adresse über ICQ sniffen:
=======================
Hey, einige von euch (inkl. mir) nutzen ICQ zum Austausch von Informationen und privaten
Gesprächen. Leider oder glücklicherweise (man nehme es wie es wolle!) kann man mit Hilfe alter DOS
Befehle die IP via ICQ auf einem ganz einfachen Weg herausbekommen.
Vielleicht denkt jetzt der ein oder andere, daß seine IP sicher sei, da er
"Do not allow others to see my IP adress" aktiviert hat.
Leider ist dem nicht so, wie meine 2.Stunde es euch hier Schritt für Schritt beweisen wird ;-)
Okay, hier folgt nun der komplette Weg den ihr gehen müsst um die IP's via ICQ zu sniffen:
* Schickt demjenigen eine Nachricht oder macht einen Chat auf, dessen IP ihr sniffen wollt
* Öffnet sofort nach dem Versand der Message unter Windows die Dos-Eingabeaufforderung und tippt
ein:
netstat -a
Netstat ist ein Programm, daß euch Protokoll Statistiken und aktive Netzwerkverbindungen
anzeigt
* Nach einer Weile erhaltet ihr Informationen, die folgendermaßen aussehen können:

Active Connections
Proto Local Address Foreign Address State
TCP Demon:0 0.0.0.0:0 LISTENING
TCP Demon:1029 0.0.0.0:0 LISTENING
TCP Demon:1030 0.0.0.0:0 LISTENING
TCP Demon:1090 0.0.0.0:0 LISTENING
TCP Demon:1091 0.0.0.0:0 LISTENING
TCP Demon:1098 0.0.0.0:0 LISTENING
TCP Demon:1099 0.0.0.0:0 LISTENING
TCP Demon:1093 0.0.0.0:0 LISTENING
TCP Demon:1090 server5.sys.www.ozemail.net:80 CLOSE_WAIT
TCP Demon:1091 server5.sys.www.ozemail.net:80 CLOSE_WAIT
TCP Demon:1098 server5.sys.www.ozemail.net:80 CLOSE_WAIT
TCP Demon:1099 p3-max35.auck.ihug.co.nz:1054 ESTABLISHED
TCP Demon:137 0.0.0.0:0 LISTENING
TCP Demon:138 0.0.0.0:0 LISTENING
TCP Demon:nbsession 0.0.0.0:0 LISTENING
TCP Demon:1029 0.0.0.0:0 LISTENING
TCP Demon:1093 0.0.0.0:0 LISTENING
TCP Demon:nbname 0.0.0.0:0 LISTENING
TCP Demon:nbdatagram 0.0.0.0:0 LISTENING

Wie man aus diesen Informationen herausnehmen kann, besteht eine direkte Verbindung zu
p3-max35.auck.ihug.co.nz:1054
Dies ist die aktuelle "Line" (also Leitung) die der User benutzt. Genau das ist es was uns
interessiert.
* Tippt in der Eingabeaufforderung ein:
ping p3-max35.auck.ihug.co.nz:1054
Mit dem Befehl >ping< pingt ihr den User sozusagen an und guckt ob dieser aktiv ist
Das Ergebnis ist verblüffend und kann folgendermaßen aussehen:

Pinging p3-max35.auck.ihug.co.nz [209.76.xxx.xxx] with 32 bytes of data:
Reply from 209.76.xxx.xxx: bytes=32 time=1281ms TTL=39
Request timed out.
Reply from 209.76.xxx.xxx: bytes=32 time=1185ms TTL=39
Request timed out.
Ping statistics for 209.76.xxx.xxx:
Packets: Sent = 4, Received = 2, Lost = 2 (50% loss),
Approximate round trip times in milli-seconds:
Minimum = 1185ms, Maximum = 1281ms, Average = 616ms

Na, ihr ahnt schon etwas ?
Die aktuelle IP Adresse unseres Opfers lautet: 209.76.xxx.xxx Mehr steckt hinter einem solchen Sniffing nicht und ist doch supereinfach, oder
Aber habt ihr Bock jedes Mal "netstat -a" und dann noch den langen host-name anpingen
Nein, denn wer hat schon Lust dazu.
Dann versuch mal anstatt "netstat -a" einfach "netstat -n", da bekommst Du eine Liste mit IP's,
mitdenen Du im Moment eine aktive Verbindung hast.
Und was man mit einer IP Adesse alles anfangen kann, muß ja von mir nicht weiter erläutert werden
;-)

na dann hoffe ich mal das ich für die kiddy´s hier was zum spielen habe und das die fragen über ip über icq rausfinden geklärt sind ..
mfg Blackdoor

[VeN0m]

Und was man mit einer IP Adesse alles anfangen kann, muß ja von mir nicht weiter erläutert werden
;-)

Außer nach offenen Ports beim Gegenüber zu schauen, wo z.B Dienste wie MySQL oder ähnliches drauf läuft, was man anfallen könnte, die IP zu (D)DoSen oder einfach damit anzugeben, dass man die IP hat nicht wirklich viel (wie tmh schon vor mir sage... xD). Oder habe ich was verpasst? Kamen in den letzten zwei Stunden die ersten "IP-Hackingtools"? Also wirklich viel nützen tut die IP wirklich nicht... Und ich finde Netstat nicht sonderlich elegant. Dann schon eher Wireshark bzw. Ettercap. Finde ich schon komfortabler. Und wenn ich nicht irre werden die Verbindungen mit dem Gesprächspartner nicht direkt mit ihm vorgenommen sondern erstmal über den ICQ-Server. Bei Dateiübertragungen sieht es da anders aus, da hier eine P2P-Verbindung genutzt wird, die direkt mit dem Gegenüber besteht. Ich glaube also kaum, dass man damit etwas anfangen kann, wenn man nicht eine Datei überträgt. Und wenn man eine Datei überträgt und der Person schaden will: Warum dann nicht einen RAT oder ähnliches? Naja ich finde die Anleitung etwas sinnlos aber wems Spaß macht...

[der_Dude]

Port Buffer Overflow, bekannte (nicht gepatchte) Sicherheitslücken in Windows ausnützen, etc...

mfg der_Dude

[d4nNiiiSTAR]

Danke jez kann ich endlich den shice qip clienten löschen...

[KleverKing]

Kennt doch schon jeder netstat aber naja

[karatehamster]

@Power-Sven
Soweit ich weiß laufen die Dateiübertragungen auch über die "icq-Server". Sonst würde man ja mit voller bandbreite uploaden aber was bei allen die ich kenne nicht der fall ist^^

[Zylasty]

Port Buffer Overflow, bekannte (nicht gepatchte) Sicherheitslücken in Windows ausnützen, etc...

mfg der_Dude

ja such mal Sicherheitslücken bei WINDOWS wenn du die IP des ROUTERS hast. Das bringt dir ja auch viel. Und dazu woher willst du wissen welches Windows er benutzt? und SP? Mit der Ip kann man sogut wie nichts anfangen, wenn man nicht ka, sagen wirs so "sich damit auskennt"... ja scan mal Ports... selbst das bringt dir nicht viel, weil du die Anwendung dahinter nicht genau kennst und selbst wenn, musst dafür erstmal Exploits suchen/schreiben.

B2T:
1. Das ging vllt früher so ist aber heute nicht mehr möglich!
2. Ich glaube auch, dass, selbst obwohl da steht das es so ist, die Dateiübertragung auch keine P2P Verbindung ist.

Wenn du so schlau bist, dann sag was man mit der Ip alles anfangen kann, ich weiß es nämlich nicht.

[der_Dude]

@Zylasty

Was glaubst du denn, wie sich die ganzen (großen) Botnets verbreiten, hmm?

[-Speedy-]

bei mir stehen sehr viele ips,weiß nur nicht welche die Richtige ist

[wacked]

@der_dude:mit den exploits die wir nicht haben.
mit den exploits die wir niemals endecken werden.

aber ganz ehrlich:sicher dass ihr mit der ip was anfangen könnt?
oder ist es nicht wahrscheinlicher dass die ip vielleicht zufällig zum ISP gehört? wär jetz nur geraten ich weiß ja nich aber wär ja möglich. NATürlich könnt ich mich auch irren...