Wie sicher ist FTP()

[Jac de Lad]

Hallo Roland (und andere).

Wie abhörsicher ist der FTP()-Befehl? Kann man die Zugangsdaten einfach abhören oder ist das nicht so einfach?

Jac

[AHT]

Zitat:

Zitat von Jac de Lad

Hallo Roland (und andere).

Wie abhörsicher ist der FTP()-Befehl? Kann man die Zugangsdaten einfach abhören oder ist das nicht so einfach?

Jac

Zugangsdaten in einem Programm weitergeben? Lass es sein!
Sogar meine Programmierkenntnisse würden wohl reichen, dein Passwort und deinen Loginnamen herauszubekommen - da muss nicht einmal ein Experte ran.

[Jac de Lad]

Ich will ein Programm dazu veranlassen Dateien auf einem Server abzulegen. Wenn das so unsicher ist (was ich mir schon fast gedacht habe), gibts da noch ne andere, sicherere Methode (für XProfan)?

Jac

[AHT]

Zitat:

Zitat von Jac de Lad

Ich will ein Programm dazu veranlassen Dateien auf einem Server abzulegen. Wenn das so unsicher ist (was ich mir schon fast gedacht habe), gibts da noch ne andere, sicherere Methode (für XProfan)?

Jac

Vergiss es. Jeder, der Lust hat, knackt so was und benutzt deinen Account zum Verteilen von Viren. Dass du dann wohl auch noch rechtlich dafür haftest, ist auch klar - oder?
Ich denke mal UALL oder BenBe von Delphi würden sich über sowas vor lachen in die Hose machen...

[Frabbing]

Wenn, dann verwende als Server aber irgendeinen (ausländischen) Freehoster und ohne Index-Seite.

Du wirst nicht darum herum kommen, ein serverseitiges Programm zu schreiben. Im einfachsten Falle ein PHP-Skript, das Dateien per POST-Request (Stichwort Multipart) annimmt und auf die Platte schreibt.

[AHT]

Zitat:

Zitat von Jac de Lad

Hallo Roland (und andere).

Wie abhörsicher ist der FTP()-Befehl? Kann man die Zugangsdaten einfach abhören oder ist das nicht so einfach?

Jac

Musste das wegen einer Virensache gerade mal austesten, deswegen melde ich mich hier noch einmal.
Für XProfan ist das scheinbar sogar noch viel einfacher möglich, als ich bislang gedacht habe.

XProfan interpretiert ja die einzelnen Quelltextzeilen - gerade bei den FPT Funktionen steht alles, was da in Klammern steht, deshalb kommplett uncodiert auf dem Stack.

Vorgehensweise:
Mann startet das Profanproggie über OllyDebug. Man lässt einfach das Profanproggie bis kurz vor dem Aufruf der FTP Funktion laufen (wenn möglich) und pausiert es dann. Danach lässt man es mit Animate into weiter laufen und stoppt es per Hand, wenn in einem Register der String Connect auftaucht.
Danach schaut man sich den Stack an. Wenn die Zugangsdaten direkt in den Befehl geschrieben wurden, stehen die dann in folgendem Format auf dem Stack - egal, ob die EXE codiert ist oder nicht:

Code:

 
"Connect","AHTs_Account","Passwort","ftp.osnanet.de","21"

Steht da so was

Code:

 
"Connect",Account$,Passwort$,"ftp.osnanet.de","21"

, könnte man man wie folgt vorgehen:

• Man lässt die FTP Verbindung erst mal zu und stoppt das Programm dann über den Debugger oder per Aufruf von SuspendThread.
• Man sucht dann folgenden String im Speicher (Vista): Password required for
  
• Hat man die Adresse des Strings gefunden, steht dahinter der Accountname in dieser Form:
  Code:

  Password required for AHTs_Account

  AHTs_Account wäre hier der Username. Auch das Passwort findet man im Speicher, man muss in diesem Fall da aber unter Umständen etwas rumprobieren - je nachdem, welche Profanversion verwendet wurde.

Steht da so was:

Code:

"Connect",Account$,Passwort1$ + Passwort1$,"ftp.osnanet.de","21"

geht man wie folgt vor:

• Den Accountnamen ermittelt man zuerst wie oben angegeben.
• Um das Passwort zu suchen, sucht man nochmals nach dem String "Connect",
• In der Regel befindet sich das uncodierte Passwort einige Bytes nach einem Vorkommen dieses Strings auf dem Stack. Welches das richtige ist, kann man ausprobieren.

Für pwd$() habe ich die Sache noch nicht ausprobiert - aber auch hier dürfte die letzte Variante möglich sein.
Kann man keinen Debuger einsetzen, reicht es eigentlich, den Profanthread zu stoppen (API SuspendThread). Danach kann man dann den Speicher durchsuchen.

(Getestet unter XProfan9 und Vista - dürfte bei neueren Versionen von XProfan aber genauso zutreffen).