<div>Hi Kishore,</div>
<div> </div>
<div>thanks for this very usefull tip, it does work!! but strange they don;t allow this kind of edition when we type directly into the window, it simply replaces it. And i never thought of doing a ctrl-V :). </div>
<div> </div>
<div>I always thought why they have implemented such a functionality, because api hooking does allow control over the buffer as well. <br><br><br></div>
<div class="gmail_quote">On Thu, Aug 19, 2010 at 8:59 AM, kishore kumar <span dir="ltr">&lt;<a href="mailto:mindsec@gmail.com">mindsec@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">Hi,<br><br>Using Echo Mirage one can send data more than the assigned buffer.<br>When Echo Mirage intercepts data, suppose say there is a parameter &#39;<span style="BACKGROUND-COLOR: rgb(255,102,0)">a</span>&#39;. Normally we can change it to only 1 byte data like say &#39;b&#39; , &#39;1&#39; etc.<br>
Instead of doing this, if you want to send more data than the assigned buffer, <br>I want to try injections in the parameter &#39;a&#39; <br>Eg:  &#39; or 1=1-- <br><br>so one can copy this from notepad or anywhere and go to Echo mirage interceptor and select the parameter in this case &#39;<span style="BACKGROUND-COLOR: rgb(255,102,0)">a</span>&#39; and say ctrl+v. Echo mirage ask you to select the data format, select Text the first option and say OK. Now &#39;a&#39; will be replaced with &#39;<span style="BACKGROUND-COLOR: rgb(255,204,102)">&#39; or 1=1--</span>&#39; .<br>
<br>Try this and out and correct me if i am wrong. 
<div>
<div></div>
<div class="h5"><br><br>
<div class="gmail_quote">On Wed, Aug 18, 2010 at 4:22 PM, ronnie johndas <span dir="ltr">&lt;<a href="mailto:ronnie.johndas@gmail.com" target="_blank">ronnie.johndas@gmail.com</a>&gt;</span> wrote:<br>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0pt 0pt 0pt 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid">
<div>Hi Robin,</div>
<div> </div>
<div>These are some of the problem with the tool:</div>
<p>1. Multithread communication : many thread sending data, makes it impossible to find the packet to edit,<br>there maybe one thread that works like a poller if a timeout occurs on that thread because u are busy editing value in packet sent from some other thread it halts the process. </p>

<p>2. U can only change values in the assigned buffer, if the intercepted data is 10 bytes u can&#39;t make it send 11 bytes.</p>
<p>3. Uses API hooking, because of that is very crash prone.</p>
<div>the best and reliable way is to put break points using a debugger on (ws2_32.dll) open and recieve functions and edit the values before it sends, using a debugger all the three above problems gets solved. Gives u leg space to inject ur data.</div>

<div> </div>
<div>Ollydbg,pydbg,immunity is a good debugger, u can write scipts in them to automate what ever ur trying.<br><br></div>
<div class="gmail_quote">
<div>On Tue, Aug 17, 2010 at 6:09 PM, Robin Tiwari <span dir="ltr">&lt;<a href="mailto:tiwari.robin@gmail.com" target="_blank">tiwari.robin@gmail.com</a>&gt;</span> wrote:<br></div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid"><br><br>
<div class="gmail_quote"><br>
<div>Dear Padma;</div>
<div> </div>
<div>For the exe client , the echo mirage tool is best to intercept the data from client to server. May i know what is issue with this tool with you ?</div>
<div> </div>
<div> </div>
<div><br><br> </div>
<div class="gmail_quote">
<div>
<div></div>
<div>On Tue, Aug 17, 2010 at 12:40 PM, <span dir="ltr">&lt;<a href="mailto:padmasriramiyer@hsbc.co.in" target="_blank">padmasriramiyer@hsbc.co.in</a>&gt;</span> wrote:<br></div></div>
<blockquote class="gmail_quote" style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: rgb(204,204,204) 1px solid"><br><font face="sans-serif" size="2">Firstly thanks All for the quick responses. </font><br><br>
<font face="sans-serif" size="2">I tried Echo Mirage, wireshark and ITR, but scope became very limited. I would definitely try out the other options suggested. </font><br><br><font face="sans-serif" size="2">I found another tool JavaSnoop, but i think we can only snoop a jar file. My app is an exe client. Has anybody worked on it? Any suggestions about it?</font> <br>

<div><br><br><font face="Arial" size="2">Best regards,</font> <br><font face="Arial" color="red" size="2"><b>Padma Sriram Iyer</b> </font><br><font face="Arial" size="1">Senior Security Analyst <br>GLT Information Security Risk <br>
HSBC Technology and Services - Global Technology</font> <br><font face="Arial" color="red" size="1">_______________________________________________________________________<br></font><br><font face="Arial" color="#4f4f4f" size="1">Phone.     91 20 6642 2285<br>
Tieline.     71 91 20 2285</font> <br><font face="Arial" color="#4f4f4f" size="1">Email.       </font><a href="mailto:padmasriramiyer@hsbc.co.in" target="_blank"><font face="Arial" color="red" size="1"><u>padmasriramiyer@hsbc.co.in</u></font></a> <br>
<font face="Arial" color="red" size="1">_______________________________________________________________________</font> <br><br><br></div>
<table width="100%">
<tbody>
<tr valign="top">
<td><font face="sans-serif" color="#5f5f5f" size="1">From:</font> </td>
<td><font face="sans-serif" size="1">Dharmesh M Mehta &lt;<a href="mailto:Dharmesh.Mehta@mastek.com" target="_blank">Dharmesh.Mehta@mastek.com</a>&gt;</font> </td></tr>
<tr valign="top">
<td><font face="sans-serif" color="#5f5f5f" size="1">To:</font> </td>
<td><font face="sans-serif" size="1">Padma Sriram IYER/ITD GLT/HSDI/HSBC@HSBC03, &quot;<a href="mailto:owasp-delhi@lists.owasp.org" target="_blank">owasp-delhi@lists.owasp.org</a>&quot; &lt;<a href="mailto:owasp-delhi@lists.owasp.org" target="_blank">owasp-delhi@lists.owasp.org</a>&gt;</font> </td>
</tr>
<tr valign="top">
<td><font face="sans-serif" color="#5f5f5f" size="1">Date:</font> </td>
<td><font face="sans-serif" size="1">17/08/10 04:47 PM</font> </td></tr>
<tr valign="top">
<td><font face="sans-serif" color="#5f5f5f" size="1">Subject:</font> </td>
<td><font face="sans-serif" size="1">RE: [Owasp-delhi] Thick client security testing</font></td></tr></tbody></table><br>
<hr noshade>

<div>
<div></div>
<div><br><br><br><font face="Calibri" color="#004080" size="2">Hi Padma,</font> <br><font face="Calibri" color="#004080" size="2"> </font> <br><font face="Calibri" color="#004080" size="2">I have personally found Echo Mirage tool useful for security testing of a thick client application. </font><br>
<font face="Calibri" color="#004080" size="2">Like a proxy tool for testing web application, Echo Mirage can be used to intercept and modify the request from the client to the server and perform most of your validation related attacks.</font> <br>
<font face="Calibri" color="#004080" size="2"> </font> <br><font face="Calibri" color="#004080" size="2"> </font> <br><font face="Calibri" color="#004080" size="2">Thanks &amp; Regards,</font> <br><font face="Calibri" color="#004080" size="2"> </font> <br>
<font face="Calibri" color="#004080" size="2">Dharmesh Mehta, CISSP</font> <br><font face="Trebuchet MS" color="#5f5f5f" size="1">Security Specialist - Technology Engineering &amp; Consulting Group</font> <br><font face="Trebuchet MS" color="#e12000" size="1">Mastek Ltd </font><font face="Trebuchet MS" color="#5f5f5f" size="1">| MNDC, MBP Mahape, Navi Mumbai, India | (T) 91 22 6791 4646 Extn - 5469 | Mobile: 91 9730002132</font> <br>
<a href="http://smartsecurity.blogspot.com/" target="_blank"><font face="Trebuchet MS" color="blue" size="1"><u>http://smartsecurity.blogspot.com</u></font></a> <br><font face="Calibri" color="#004080" size="2"> </font> <br>
<font face="Tahoma" size="2"><b>From:</b> <a href="mailto:owasp-delhi-bounces@lists.owasp.org" target="_blank">owasp-delhi-bounces@lists.owasp.org</a> [</font><a href="mailto:owasp-delhi-bounces@lists.owasp.org" target="_blank"><font face="Tahoma" size="2">mailto:owasp-delhi-bounces@lists.owasp.org</font></a><font face="Tahoma" size="2">] <b>On Behalf Of </b><a href="mailto:padmasriramiyer@hsbc.co.in" target="_blank">padmasriramiyer@hsbc.co.in</a><b><br>
Sent:</b> Tuesday, August 17, 2010 10:11 AM<b><br>To:</b> <a href="mailto:owasp-delhi@lists.owasp.org" target="_blank">owasp-delhi@lists.owasp.org</a>; <a href="mailto:owasp-delhi-bounces@lists.owasp.org" target="_blank">owasp-delhi-bounces@lists.owasp.org</a><b><br>
Subject:</b> [Owasp-delhi] Thick client security testing</font> <br><font face="Times New Roman" size="3"> </font> <br><font face="Arial" size="2"><br>Hi guys,</font><font face="Times New Roman" size="3"> <br></font><font face="Arial" size="2"><br>
Can anyone please guide me how to proceed with security testing of Java application i.e. a thick client?</font><font face="Times New Roman" size="3"> </font><font face="Arial" size="2"><br></font><font face="Times New Roman" size="3"><br>
</font><font face="Arial" size="2"><br>Best regards,</font><font face="Times New Roman" size="3"> </font><font face="Arial" color="red" size="2"><b><br>Padma Sriram Iyer</b> </font><font face="Arial" size="1"><br>Senior Security Analyst <br>
GLT Information Security Risk <br>HSBC Technology and Services - Global Technology</font><font face="Times New Roman" size="3"> </font><font face="Arial" color="red" size="1"><br>_______________________________________________________________________</font><font face="Times New Roman" size="3"><br>
</font><font face="Arial" color="#4f4f4f" size="1"><br>Phone.     91 20 6642 2285<br>Tieline.     71 91 20 2285</font><font face="Times New Roman" size="3"> </font><font face="Arial" color="#4f4f4f" size="1"><br>Email.       </font><a href="mailto:padmasriramiyer@hsbc.co.in" target="_blank"><font face="Arial" color="red" size="1"><u>padmasriramiyer@hsbc.co.in</u></font></a><font face="Times New Roman" size="3"> </font><font face="Arial" color="red" size="1"><br>
_______________________________________________________________________<br><br>************************************************************<br>HSBC Software Development (India) Pvt Ltd<br>HSBC Center Riverside,West Avenue ,<br>
25 B Kalyani Nagar Pune  411 006 INDIA<br><br>Telephone: +91 20 26683000<br>Fax: +91 20 26681030<br>************************************************************</font><font face="Times New Roman" size="3"><br>----------------------------------------- ******************************************************************* This e-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return e-mail. Internet communications cannot be guaranteed to be timely, secure, error or virus-free. The sender does not accept liability for any errors or omissions. ******************************************************************* &quot;SAVE PAPER - THINK BEFORE YOU PRINT!&quot; </font></div>
</div>
<p></p>
<table>
<tbody>
<tr>
<td bgcolor="white"></td></tr></tbody></table><br><font face="Times New Roman" size="3"> </font> 
<p></p>
<div>
<div></div>
<div>
<div>
<div></div>
<div><font size="3"><br></font>
<table>
<tbody>
<tr>
<td bgcolor="white"><font size="3"><br>MASTEK LTD.<br>In the US, we&#39;re called MAJESCOMASTEK<br><br>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~<br>Opinions expressed in this e-mail are those of the individual and not that of Mastek Limited, unless specifically indicated to that effect. Mastek Limited does not accept any responsibility or liability for it. This e-mail and attachments (if any) transmitted with it are confidential and/or privileged and solely for the use of the intended person or entity to which it is addressed. Any review, re-transmission, dissemination or other use of or taking of any action in reliance upon this information by persons or entities other than the intended recipient is prohibited. This e-mail and its attachments have been scanned for the presence of computer viruses. It is the responsibility of the recipient to run the virus check on e-mails and attachments before opening them. If you have received this e-mail in error, kindly delete this e-mail from desktop and server.<br>
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~</font></td></tr></tbody></table></div></div></div></div>
<p></p>
<hr>

<p></p>
<div>
<div></div>
<div><font size="3"><b>******************************************************************<br>This message originated from the Internet. Its originator may or may not be who<br>they claim to be and the information contained in the message and any<br>
attachments may or may not be accurate.<br>******************************************************************</b></font> 
<div>
<p></p>
<p><font face="sans-serif" size="2"><br><br>************************************************************<br>HSBC Software Development (India) Pvt Ltd<br>HSBC Center Riverside,West Avenue ,<br>25 B Kalyani Nagar Pune  411 006 INDIA<br>
<br>Telephone: +91 20 26683000<br>Fax: +91 20 26681030<br>************************************************************<br></font>----------------------------------------- ******************************************************************* This e-mail is confidential. It may also be legally privileged. If you are not the addressee you may not copy, forward, disclose or use any part of it. If you have received this message in error, please delete it and all copies from your system and notify the sender immediately by return e-mail. Internet communications cannot be guaranteed to be timely, secure, error or virus-free. The sender does not accept liability for any errors or omissions. ******************************************************************* &quot;SAVE PAPER - THINK BEFORE YOU PRINT!&quot; </p>

<p></p>
<p></p>
<p></p></div>
<p></p>
<p></p>
<p></p>
<p></p><br></div></div>
<div>_______________________________________________<br>Owasp-delhi mailing list<br><a href="mailto:Owasp-delhi@lists.owasp.org" target="_blank">Owasp-delhi@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-delhi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-delhi</a><br>
<br></div>
<p></p>
<p></p>
<p></p>
<p></p>
<p></p>
<p></p>
<p></p>
<p></p></blockquote></div><font color="#888888"><br><br clear="all"><br>-- <br>Thanks &amp; Regards<br><br>Robin Tiwari<br>Security Anlayst<br><br></font></div><br><br clear="all"><br>-- <br>Thanks &amp; Regards<br><br>Robin Tiwari<br>
Security Anlayst<br><br><br>_______________________________________________<br>Owasp-delhi mailing list<br><a href="mailto:Owasp-delhi@lists.owasp.org" target="_blank">Owasp-delhi@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-delhi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-delhi</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>
<div>
<div></div>
<div>Thanks and Regards <br><br>Ronnie Johndas<br>Application Security Analyst<br>Honeywell Tech Solutions Lab<br>Bangalore<br><br>Blog:<br><a href="http://appsecbyre.blogspot.com/" target="_blank">http://appsecbyre.blogspot.com/</a><br>
</div></div><br>_______________________________________________<br>Owasp-delhi mailing list<br><a href="mailto:Owasp-delhi@lists.owasp.org" target="_blank">Owasp-delhi@lists.owasp.org</a><br><a href="https://lists.owasp.org/mailman/listinfo/owasp-delhi" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-delhi</a><br>
<br></blockquote></div><br></div></div></blockquote></div><br><br clear="all"><br>-- <br>Thanks and Regards <br><br>Ronnie Johndas<br>Application Security Analyst<br>Honeywell Tech Solutions Lab<br>Bangalore<br><br>Blog:<br>
<a href="http://appsecbyre.blogspot.com/" target="_blank">http://appsecbyre.blogspot.com/</a><br>