packets enviados al conectarse al live (interesante)

Archivado
lo copio de la web de http://www.blackcats-games.net .. la verdad k lo e encontrado interesante.

Hi all, As a regular member of BC i just wanted to through out an idea that i thought someone might want to look into regarding the recent XBL banhammer.

As clarification, this is not a topic about x360 ban stats. Mearly an idea i have and thought could prove useful.

We are all aware that the only way to recieve the banhammer from M$ is to be connected to the internet, and able to send/recieve data to the XBL servers. I am following the assumption that M$ does a remote check on all consoles to see if they meet requirements to be banned.

We Do know from posts here on BC and xbox-scene.com that they are banning console ID's and not accounts, for those that dont know: console ID's = your 360 serial #.

From previous packet capturing by myself, between my 360 + XBL servers this is some of the traffic that is passed back and forth,which can be capture using free software (Ethereal packet capture)


Host 1 Host 2 Protocol contents
Xbox -> nameserver DNS query AS.XBOXLIVE.COM
Xbox <- nameserver DNS AS.XBOXLIVE.COM is 207.46.247.6
Xbox -> 207.46.247.6 KRB5 Kerberos Request, containing the following

plaintext string in the "Pre-Authentication" part of the Kerberos packet:
"Xbox Version=1.00.4831.5 Title=0xFFFE0000 TitleVersion=268595456"

as well as

Request/Client Name = "SN.205516223205@xbox.com"
Request/Realm = "PASSPORT.NET"

Xbox <- 207.46.247.6 KRB5 Kerberos Reply, containing the following confirmation:
Client Name = "SN.205516223205@xbox.com"
Realm = "PASSPORT.NET"
as well as some cyphertext.


For those that do know a bit about networking + authentication this is very straight forward, for those that dont, i will point out a few important elements which bring the reason for my post.

First off, as you can see on the top 2 lines, When your 360 connects to XBL it first does a Domain name Query, which essentially changes a URL name to a specific IP address.

What is really interesting is the 3rd, 4th and 5th line. XBL requests an authentication from the xbox including information such as:

"Xbox Version=1.00.4831.5 <- im assuming the dashboard version
Title=0xFFFE0000 <- Game title in drive?
TitleVersion=268595456 <- Version of game in drive?

and one of the most important

Request/Client Name = "SN.205516223205@xbox.com"

So as you can see above, while signng into XBL, your console ID (serial) is attached to your authentication into XBL, this is where i stumbled across a few ideas that could prove useful to the community if properly approached and handled.


Idea 1. Using the very limited amount of unencrypted information in the packets, you could presume that, using a packet capture/injector, you could capture that packet going out containing your console id (serial). and either prevent it from going to the XBL servers or, replace the console id with another value.

Of course this raises the question, how much XBL account info is tied to the console ID?
A complete assumption on my part: But from what i read even if M$ bans the console, the account is still active... Does this mean that replacing or blocking the Kerberos authentication containing the Console ID will affect nothing? who knows..

Idea 2. Capture the Banhammer request/reply. this in my opinon would be the best method if properly constucted and implemented (until a more viable method is released).
After the banhammer packet has be captured, individuals could analyze the contents and persue in a varity of methods. One would be to block the banhammer request all together (although it is not known if XBL needs a reply to the BAN checking request) or Second, Modify the reply packet going to the XBL servers to contain a diffrent console ID, perhaps one already banned. The second option i think would be more viable, since the xbox serial number is displayed in Plain-text in the packet.

Well thats my thought on a circumvention of the banhammer, This is not tested or proved at all, this is mearly speculation.

If anyone has any thoughts or suggestions to circumventing or analyzing the banhammer, feel free to leave a post


creo k puede ayudar a encontrar una solucion o almenos prevenir...
si...esto me suena lo ke me mencionado antes en otro pc, el ICMP ke siempre ke se realiza las pruevas se keda...cargando n rato y creo ke lo ke hace es eso conectarse al xbox live y ver si tu consola esta en la lista negra o no para permitir conexion a el o puff
Pues estuve haciendo unas pruebas y esto no se si es interestante pero yo me acuerdo que antiguamente la xbox 1 los codigos de estado una vez baneado no cambiaban aunque estuvieras offline.

Ahora hasta que no llega a xbox live los codigos se mantienen limpios. Igual cuando se le meta mano a la consola se puede hacer algo sobre esto.
yo (aunke no soy un experto) entiendo k alomejor se puede modificar o detener el packet k envia la id de la consola baneada, pero calro nose si eso solucionaria el problema o haria algo
Total que es el num de serie de la consola, Trebarius si lo llegamos a saber antes, nos ahorramos el hilo anterior... [+risas] [+risas] [+risas]
pues si...de mac nada, es la id de la consola ahora la cuesttion seria...engañar al que envia esos datos, ke, segun creo tiene ke ser el ICMP para que asi enviemos una ID de una consola no pirata para metersela doblada a los servidores de microsoft, pero claro antes tendriamos ke saber ke es lo ke microsoft hace apra saber si esa id, esa consola, tiene el firmware modificado o a estado modificado...
paciencia y dejar a los genios de la scene currar caballeros, aun asi aunq lo consiguieran no creo que fuese dificil para microsoft parchear eso y quien se arriesgaria a pagar Live para 1 semana que es un decir?
una idea tonta.
Por ejemplo si conectas la xbox al pc y el pc es kien le da internet a la consola, cuando el live intenta chekear si la consola es "pitara" no podria engañarle el PC diciendo k es legal? supongo k es una tonteria lo k digo pero por saber.... xD
Sabiendo como, no es dificil capturar los packets y modificarlos a mano o mediante scripts antes de que sean enviados al live, con un ordenador.
Si utiliza autenticación por Kerberos está bastante jodido desencriptar esos hashes. Kerberos es el protocolo de autenticación que utiliza el Directorio Activo de Windows Server, y es muy seguro. Hace un tiempo estuve en un Hands On Labs de Microsoft sobre Contramedidas Hacker y nos enseñaron a desencriptar hashes NTLM de menos de 14 caracteres (ya que en realidad son 7+7), pero con Kerberos el tema estaba muchísimo más complicado.

La idea que proponen en Black-Cats de utilizar un inyector de paquetes para modificar esa información en tiempo real parece lógica, pero dudo que sea sencillo ya que Microsoft seguro que previó que alguien pudiera utilizar un sniffer (analizador de protocolos) para capturar los paquetes de red.

Además haced una prueba, sin tener el cable conectado, haced la comprobación de conectividad y mirad el mensaje de NAT.

No tengo mucha idea sobre el tema pero espero que esto vaya por buen camino (Queria comprarme el Castle Crashes y la segunda expansión del Obivion).
eseka escribió:Si utiliza autenticación por Kerberos está bastante jodido desencriptar esos hashes. Kerberos es el protocolo de autenticación que utiliza el Directorio Activo de Windows Server, y es muy seguro. Hace un tiempo estuve en un Hands On Labs de Microsoft sobre Contramedidas Hacker y nos enseñaron a desencriptar hashes NTLM de menos de 14 caracteres (ya que en realidad son 7+7), pero con Kerberos el tema estaba muchísimo más complicado.

La idea que proponen en Black-Cats de utilizar un inyector de paquetes para modificar esa información en tiempo real parece lógica, pero dudo que sea sencillo ya que Microsoft seguro que previó que alguien pudiera utilizar un sniffer (analizador de protocolos) para capturar los paquetes de red.

Además haced una prueba, sin tener el cable conectado, haced la comprobación de conectividad y mirad el mensaje de NAT.

No tengo mucha idea sobre el tema pero espero que esto vaya por buen camino (Queria comprarme el Castle Crashes y la segunda expansión del Obivion).



Si tener el cable conectado no puedes ir hasta el NAT, pero si puedes mirar los codigos, y estan limpios, sin el cable conectado la consola sale como "no baneada"
VictorM escribió:

Si tener el cable conectado no puedes ir hasta el NAT, pero si puedes mirar los codigos, y estan limpios, sin el cable conectado la consola sale como "no baneada"


o.0 pues es una buena señal [ok]
Yo todo esto lo veo bien, pero quizás sólo se acepten esos paquetes (parámetros de validación) si son enviados desde la consola. De todas formas, es un tema muy interesante y creo que incluso viable.

Ya se han usado sistemas "crackeados" de validación parecidos con Steam por ejemplo (versiones modificadas de Steam que permitían a los usuarios autentificarse como clientes de la plataforma).

El caso es que podría probarse el uso de alguna aplicación para PC que imite el proceso de autentificación que hace la consola, pero enviando un número ID distinto (no baneado).

Habrá que seguir todo este tema...
Curro en cosas de estas y no es por fastidiar....... pero si sois capazes de romper kerberos en el momento, hariais una genealidad bastante importante.....

Si la autenticacion va por kerberos ( logico ) hoy en dia es imposible todo va firmado por claves gereradas en el momento, cuya validez ha de ser corta ( tickets )....

asi que yo creo que por este sitio mal....

Suerte a tods
eseka escribió:Si utiliza autenticación por Kerberos está bastante jodido desencriptar esos hashes. Kerberos es el protocolo de autenticación que utiliza el Directorio Activo de Windows Server, y es muy seguro. Hace un tiempo estuve en un Hands On Labs de Microsoft sobre Contramedidas Hacker y nos enseñaron a desencriptar hashes NTLM de menos de 14 caracteres (ya que en realidad son 7+7), pero con Kerberos el tema estaba muchísimo más complicado.

La idea que proponen en Black-Cats de utilizar un inyector de paquetes para modificar esa información en tiempo real parece lógica, pero dudo que sea sencillo ya que Microsoft seguro que previó que alguien pudiera utilizar un sniffer (analizador de protocolos) para capturar los paquetes de red.

Además haced una prueba, sin tener el cable conectado, haced la comprobación de conectividad y mirad el mensaje de NAT.

No tengo mucha idea sobre el tema pero espero que esto vaya por buen camino (Queria comprarme el Castle Crashes y la segunda expansión del Obivion).



Que no tienes ni idea........despues de 3 ron,4 cervezas y tu post me acabo de quedar como si hubiera visto matrix o forest gump..........
Si se pudiese simplemente enviar logins falsos no evitarían los baneos sino temporalmente. Lo que se podría hacer es un flood mundial randomizando los SN semi-aleatoriamente para que concuerden con consolas no modificadas, incluso sin vender aun, en los estantes de las tiendas. Eso crearía una gran "pelota" de baneos a consolas "virgenes" y destrozaría toda la estrategia de MS, sería totalmente imposible diferenciar entre los baneos reales e "inducidos".
practicamente seria saltarse el protocolo de seguridad de paquetes que tiene mirosoft para recivir "tu ide de la consola y tal..." y la informacion de tu consola "vamos tipo como un ifnorme del estado del kernel si ha habido modificaciones "del firmware le lector x ejemplo" y tal para que asi salte la alarma y diga "esta tal ID no tiene acesso poz bla bla bla" y es cuando te sale el error puñetero...xDD he de hay la cuestion crear un exploit pa enviar una informacion y una id de la consola "falsa" [sati]
Guiru escribió:Si se pudiese simplemente enviar logins falsos no evitarían los baneos sino temporalmente. Lo que se podría hacer es un flood mundial randomizando los SN semi-aleatoriamente para que concuerden con consolas no modificadas, incluso sin vender aun, en los estantes de las tiendas. Eso crearía una gran "pelota" de baneos a consolas "virgenes" y destrozaría toda la estrategia de MS, sería totalmente imposible diferenciar entre los baneos reales e "inducidos".

Y trinity por donde anda??? [360º]
Estoy en otro nivel??????????
Lo que creo es lo siguiente...

microsoft le pregunta al lector:¿que firmware tienes?
*si le dice que el original, no te banea.
*si le dice que no es el original, te banea
*si le dice que no sabe(el famoso firmware 5.3) te banea...


APOSTARIA ALGO POR ESTA TEORIA .. QUE DECIS...
Lo que creo es lo siguiente...

microsoft le pregunta al lector:¿que firmware tienes?
*si le dice que el original, no te banea.
*si le dice que no es el original, te banea
*si le dice que no sabe(el famoso firmware 5.3) te banea...


APOSTARIA ALGO POR ESTA TEORIA .. QUE DECIS...



No lo creo, ya que según comentaba commodore4eva aquí -> http://www.elotrolado.net/vernoticia.php?idnoticia=12787 el firmware sabe qué contestarle a la consola y esa "pregunta-respuesta" debe de ser de las primeras que se "trucaron".
La cuestión es averiguar qué "pregunta" le hace Microsoft al firmware o qué cambia en el comportamiento de un backup frente a un original (al margen del firmware). (La putada es quién hará ahora de conejillos de indias porque los ya baneados no sirven y el resto no creo que esté por la labor ¬¬...)

Salu2 ;)
memphis_tinsl escribió:Lo que creo es lo siguiente...

microsoft le pregunta al lector:¿que firmware tienes?
*si le dice que el original, no te banea.
*si le dice que no es el original, te banea
*si le dice que no sabe(el famoso firmware 5.3) te banea...


APOSTARIA ALGO POR ESTA TEORIA .. QUE DECIS...

Si fuese asi la teoria de poner otra vez el firmware original resolveria el problema y ya lo he intentado yo y mucho y nada...creo ke las modificaciones del firmware y extraños comoortamientos se kedan guardados en el "cache" del kernel de la 360 de hay que cuando manda el informe de la situacion de este, microsoft vea que hay alteraciones en el y cierra el grifo
y otra cosa...
si lo que envia es la ID, se acabo el sat? lo primero que te piden los marroquies es la ID...
TaLaiS escribió:y otra cosa...
si lo que envia es la ID, se acabo el sat? lo primero que te piden los marroquies es la ID...


Eso me parece muy interesante.

A ver si alguien contesta, ¿se jode la garantia al banearte la consola del live!?

¿Qué precedentes tiene la primera xbox en este tema?

salu2
Este es un buen análisis con el viejo y querido Ethereal...

Sería excelente emular de alguna manera un cambio de ID por cualquier otro en Random y generar baneos erroneos a troche y moche, pero hay un pequeño problema: no podemos volver el tiempo atrás, las que estén marcadas, calculo que tendran un timestamp. Asi que a lo mejor sirve a futuro, hasta q se ingenien algo más o cómo evitar esto...

Como dicen en España, lo veo chungo....
me parece un buen camino este...
Si, la idea es muy buena. Se podria desarrollar un soft que puesto en un PC que enrute los mensajes de XBOX 360 analice los paquetes para modificarlos en la medida de lo posible y asi evitar el ban.
el concepto es muy muy interesante, pero aunque suene facil hacerlo me parece que es super jodidisimo es info no sale encriptada o alguna mamada de esas?
Wuenas...

x se aca...ya hebis visto esto..

http://www.elotrolado.net/showthread.php?s=&threadid=689707

?

salu2

pd: no tengo ni pajolera de linux xD
En principio no es tan "complicado" el tema de interceptar y modificar paquetes al vuelo.

El problema es si los paquetes llevan algun tipo de checksum o encriptacion, ya que tras modificar la informacion de los paquetes, (el numero de serie que envia la consola por ejemplo)
habria que recodificar el paquete completo para que el receptor no lo rechace como paquete erroneo)

La tecnica de la que hablan es una tecnica bastante antigua, pueden buscar informacion en la red por el nombre de "Man In The Middle"

Era una tecnica que consistia en la suplantacion de un equipo capturando y modificando paquetes al vuelo.
Unas ideas más (tendría que saberse en más detalle algunas cosas):

A) Si el baneo consiste en que el Server de LIVE, basándose en una lista de IDs flasheadas, le envíe a la consola un paquete para activar el BAN y una vez hecho esto, la consola nunca más pueda acceder. Lo más logico es que sea así.

B) Si por el contrario, la informacion de FW flasheado no esté en los Servers de LIVE sino internamente en la propia consola.

C) Si existe un paquete inverso, es decir, un UN-BAN, estoy más que seguro que debe existir, ya que si por algún motivo se hubieran baneado maquinas de más tiene que haber una forma de "desmarcar" la consola facilmente.

D) En caso de que A) sea correcto, hay una esperanza para aquellas consolas que al día no han recibido el paquete de "BAN", lo que se debería hacer en ese caso es generar un fake-ID al loguearse, lo complejo, es que deberíamos enviar un fake-ID de una consola buena, ya que si enviáramos de una de black-list, recibiríamos el hermoso paquete de BAN.

E) Para complementar D) el software que se podría poner debería filtrar ese paquete de BAN.

F) Por lo tanto se podría hacer un Software residiendo en una PC, usando a la PC como puente entre la conexion Internet y la 360.
Una pregunta, esos paquetes van cifrados?
Si no van cifrados se pueden modificar al vuelo? o cambiar por otros?
Tengo una maléfica idea [carcajad]
Title=0xFFFE0000 <- Game title in drive?


Y si ese codigo, por casualidad fuera, el dump de algun sector del firm?
Una pregunta, esos paquetes van cifrados?
Si no van cifrados se pueden modificar al vuelo? o cambiar por otros?
Tengo una maléfica idea smile_[carcajad]


http://es.wikipedia.org/wiki/Kerberos

Por ahí es MUUUUUUUUUUUUY difícil.

Salu2 ;)
handyman escribió:
http://es.wikipedia.org/wiki/Kerberos

Por ahí es MUUUUUUUUUUUUY difícil.

Salu2 ;)

Pone ahí que se transmite cifrado. Ahora voy a investigar un poco a ver si saco algo.
yo sigo diciendo que microsoft os ha metido algun rootkit en la ultima actualizacion, vamos que estoy tan seguro que esa gente es capaz de eso y de mas que hasta me jugaria mi ps3
akvaro escribió:Sabiendo como, no es dificil capturar los packets y modificarlos a mano o mediante scripts antes de que sean enviados al live, con un ordenador.


Yo enruto el trafico de red con un server linux, para el kernel de linux coger y modificar paquetes es un juego de niños. Si alguien ataca por ese sentido, podria obtenerse algo, engañando al servidor de Live y haciendole creer que la consola es otra y que no esta modificada.
SKyo escribió:
Yo enruto el trafico de red con un server linux, para el kernel de linux coger y modificar paquetes es un juego de niños. Si alguien ataca por ese sentido, podria obtenerse algo, engañando al servidor de Live y haciendole creer que la consola es otra y que no esta modificada.

Ahí es donde quería llegar yo [uzi]
Tenriamos que pillar el paquete de una consola buena y restringir el envio de un paquete especifico de la consola mala y cambiarlo por el de la buena [uzi]
No se si probocaría algun error al haber 2 serials en el live, pero si lo hay se podría cambiar la información del paquete [babas]
bueno, aunque haya conflicto por haber varias id no problem, sería lo que se dice en otro hilo, pillar y meter la id de consolas que aún estén en las tiendas usando firms modificados para que baneen. En cuanto miles de consolas no vendidas se empiezen a petar, ya verás como tendrán que recular. [uzi]
37 respuestas
Archivado
Volver a Modificación de lectores