Всем доброго времени суток! При создании файла приглашения удаленной помощи на системе ХР создается фаил RAInvitation.msrcincidint следующего содержания Код (Text): <?xml version="1.0" encoding="Unicode" ?><UPLOADINFO TYPE="Escalated"><UPLOADDATA USERNAME="Админ" RCTICKET="65538,1,0.0.0.0:27596;0.0.0.0:3389;02f7e856f42a4c2:3389,*,WmdTFtPqQ0XDObRUep1rbuL2r2yG2OXHSjyRKbJUPpM=,*,*,1x+njD1+0GyUBewQi8o4RPwy2WY=" RCTICKETENCRYPTED="1" DtStart="1304338293" DtLength="60" PassStub="zt@4NbE28nL8uM" L="0" /></UPLOADINFO> Кто нибудь знает, что означают в поле RCTICKET зашифрованные данные после IP адресов?
Дело в том, что при изменении ip адреса в данном файле и дальнейщем его запуске выводится ошибка примерно такого содержания "неверные данные в общем ключе запроса". При этом сам запрос на удаленное соединение вообще не отправляется! (смотрю командой netstat). Мне кажется, что собака зарыта здесь Код (Text): WmdTFtPqQ0XDObRUep1rbuL2r2yG2OXHSjyRKbJUPpM= ну или здесь Код (Text): 1x+njD1+0GyUBewQi8o4RPwy2WY=
1) Где ты IP увидел? Там нулики с номерами портов и МАК-адрес какой-то сетевой карты. Нулики естественно менять бесполезно. Мак-адрес можно 2) Твои строчки - это код base64 После раскодировки получается 32 и 20 байт двоичной инфы. Что там - сам разбирайся. Может и IP есть. А может это просто хеши.
1) Для расшифровки base64 есть куча готовых утилит. Я ими не пользуюсь, а держу заготовку : MIME-Version: 1.0 Content-Type: application/octet-stream; name="wasm2" Content-Transfer-Encoding: base64 Content-Disposition: attachment; filename="wasm2" 1x+njD1+0GyUBewQi8o4RPwy2WY= Заменяю последнюю строчку и декодирую через Тотал Командер! Закодировать назад тоже через Командер можно. 2) Потом переводишь свой IP в хекс и ищешь в бинарнике. Далее либо просто меняешь IP и смотришь разницу, либо ждешь - может кто ответит тебе из знающих подробности. Но думаю без отладчика серьезного тут не обойтись.
Описания полей можно почитать в доке: http://download.microsoft.com/download/9/5/E/95EF66AF-9026-4BB0-A41D-A4F81802D92C/[MS-RAI].pdf
pashe4ka13 Думаю ты не там ищешь. Трюк с подменой IP описан на каждом углу и я только в одном месте видел упоминание об ошибках при подмене. Навскидку - может ты про уникод забыл?
roman_proСпасибо за ссылку,интересная инфа, но видимо из за плохого знания английского я так и не увидел там от куда берутся данные для криптования в эти строки RASessionID=WmdTFtPqQ0XDObRUep1rbuL2r2yG2OXHSjyRKbJUPpM= protocolSpecificParms=1x+njD1+0GyUBewQi8o4RPwy2WY=. valtergВы действительно правы ищу не там. Команда netstat тупит и я вместе с ней. не дадите ссылку, а то я на этот угол никак не попаду.
1) С английским все в порядке. Про зашифрованные строки там ничего нет. Написано где используется RASessionID - для проверки доступа через PassStub. 2) Про подмену IP - имелся ввиду опус 20 секретов ХП и куча аналогов про использование удаленных помощников на домашних компах за NAT. Вбивай в поиск RCTicket и найдешь.
valterg боюсь Вы меня не совсем правильно поняли. Моя беда не в том, что мне был прислан фаил удаленной помощи из локальной сети, а мне надо получить доступ из глобальной. Ладно, с самого начала: я соединил два компа с операционной системой хр через порты адсл модема настроенного в режиме роутера(но думаю это не суть важно). Далее на обоих компах я создаю приглашение удаленной помощи. Я обратил внимание, что при этом создается еще парочка файлов. Я сейчас не могу написать их название и адрес расположения так как сам в командировке и пишу с сотового. Так вот эти файлы: один из которых RC...tmp практически идентичен файлу приглашения, а второй фаил бинарный .bin, его вскрытие показало, что он содержит в себе пути к файлу приглашения, затем путь к RC...tmp, далее те же данные, что и в указанных файлах( ip, RASessionID), и в конце SID пользователя. Что я сделал: созданные на одном компе эти файлы перенес на другой. Вручную в шестнадцатиричном редакторе в этих файлах меняю ip адреса и sid. Запускаю удаленный помощник на компе и вижу, что он показывает, что есть одно предложение помощи и оно активно! Но когда на клиенте я запускаю фаил приглашения, то соединения не происходит, а выдает ошибку о которой я писал выше. Видимо действительно проблема в этих строках, а как мне кажется именно в RASessionID. Я не сильно знаком с криптографией, но мне кажется, что это хеш имени и пароля сервера на котором было создано приглашение.
С:\WINDOWS\pchealth\helpctr\Config\incstore.bin вот путь к бинарнику о котором я писал. А этот ко второму С:\Documents and Settings\Администратор\Local Settings\Application Data\RcIncidents\RC2D.tmp. Какую роль они играют? Может при создании файла приглащения удаленной помощи создаются ещё какие файлы? Или перезаписываются существующие? Кто то может объяснить как устроен этот удаленный помощник изнутри или дать ссылку, что почитать. Буду рад любой информации по данному вопросу. roman_pro и valterg вам огромное СПАСИБО за ответы.
