Jump to content
Guest Nemessis

Yahoo! Vulnerabilities + Tips and Tricks

By Guest Nemessis, in Exploituri

Recommended Posts

Guest Nemessis

Guest Nemessis

Posted
Posted

Yahoo! Vulnerabilities + Tips and Tricks

Autor Nemessis@RstZone.Org

http://rstcenter.com

1. Webmessenger China

- Eternul csrf

http://cn.webmessenger.yahoo.com - o aplicatie ce pare destul de normala pentru Yahoo!. Nu este chiar asa. Versiunea webmessenger din China nu este nici pe departe la fel cu versiunea de pe http://webmessenger.yahoo.com.

Care este totusi problema?

Logati-va cu un user pe http://cn.webmessenger.yahoo.com.

Logati-va cu un alt user pe clientul normal de messenger al Yahoo!. Aveti grija ca userul cu care sunteti logat pe clientul de messenger sa fie in lista de prieteni a userului logat pe webmessenger.

Setati pe clientul de messenger sa fiti online si puneti in status urmatorul cod: 

[img][/img]

Surpriza. Codul este executat in browserul pe care sunteti logat cu celalalt user.

Impact: tinand cont ca este vorba de csrf un atacator va poate fura sesiunea de logare sau va poate introduce un cod malitios fara a va putea da seama ca se intampla asa ceva.

2. My Chatroom trick

Stiati ca va puteti folosi de serviciile Yahoo! pentru a va creea propriul vostru serviciu de mesagerie?

Intrati pe http://cn.messenger.yahoo.com/webmsgr/code.php. Dupa logare vi se da un cod html ce contine un link. Ce puteti face cu acel link? Simplu. Sa luam spre exemplu acest link:

http://cn.webmessenger.yahoo.com/index.php?t=1&to=eWlkPXJvb3QuZmxvb2Q-&sig=63761f8f753f4857bf8a275e46d7b3175cba5585

Daca sunteti logati veti incepe o discutie normala cu userul ce a creeat acel link insa daca nu ati fost logati de dinainte si accesati acel link veti primi un nume aleatoriu cu care ii veti putea trimite acelui user mesaje, fara a intampina vreo problema.

Incercati si veti vedea.

3. Webmessenger.yahoo.com

Browser DOS

Am incercat sa aplic si aici vulnerabilitatea gasita in webmessenger varianta chineza insa rezultatele au fost diferite. Cu toate ca accepta anumite statusuri ce contine tag-uri html, aplicatia aflata la adresa webmessenger.yahoo.com nu suporta tag-uri gen %7Boption%7D. Rezultatul incercarilor de acest fel va fi acelasi indiferent ce browser veti folosi. O eroare flash9.ocx ce duce la inchiderea browserului. Pur si simplu este cel mai bun booter pentru versiunea web a faimosului Yahoo! messenger.

Nota: Versiunea din Yahoo! mail beta nu este vulnerabila.

4. Change password trick - interesant dar inutil

Voi explica pe scurt urmatoarea posibila problema. Stiti ca pentru a ajunge la pagina de schimbare a parolei trebuie mai intai sa reintroduceti parola? Probabil cei care fura cookies la greu stiu asta foarte bine. Ei bine pentru a ajunge la pagina respectiva este nevoie doar sa accesati urmatorul link https://edit.yahoo.com/config/change_pw?.src=ym (dupa ce v-ati logat deja in mail). Dupa cum spuneam, este interesant dar inutil atata timp cat nu stiti parola actuala.

5. Trick - Lista de messenger (nu address book)

Logati-va pe contul vostru. Accesati urmatorul link:

http://i.cn.yahoo.com/invites/picker.html?imp=yim

Veti vedea lista voastra de messenger pe pagina respectiva. Este util si in cazul in care v-ati logat folosind doar un cookie.

6. Trick - link catre avatar

Pentru a vedea avatarul unui user folositi urmatorul link:

http://img.msg.yahoo.com/avatar.php?yids=INTRODUCETIUSERULAICI&format=png

Pentru a vedea avatarul creeat de un user pe http://avatars.yahoo.com folositi urmatorul link:

http://lookup.avatars.yahoo.com/wimages?yid=INTRODUCETIUSERULAICI&size=medium&type=jpg

7. Csrf - cum sa activezi mail beta folosind image tag (trick).

Trimiteti cuiva ce foloseste Yahoo! mail Classic un attachement html cu urmatorul continut:

[img=http://mrd.mail.yahoo.com/landing]

Dupa ce va vizualiza mesajul vostru mailul sau va trece automat pe varianta beta.

Csrf – Cum sa dezactivezi mail beta folosind image tag

Trimiteti cuiva ce foloseste Yahoo! mail beta un attachment html cu urmatorul continut:

[img=http://us.f451.mail.yahoo.com/ym/login?ymv=0]

Dupa ce va vizualiza mesajul vostru mailul sau va trece automat pe varianta Classic.

Atentie: la mail beta este posibil sa trebuiasca dat manual la imagini deoarece mail beta are optiunea block images.

8. Linkuri utile pentru hotii de cookies:

De cate ori s-a intamplat sa intrati in mailul cuiva iar acesta sa aiba mail beta activat si sa intrati pe id-ul de messenger al victimei fara sa vreti. Care este cea mai buna solutie pentru a nu avea de-a face cu messengerul deja prezent in versiunea mail beta dar in acelasi timp sa nici nu lasati urme cand schimbati voi manual versiunea de mail? Pentru ca victima poate accesa mailul oricand si sa observe schimbarea versiunii acestuia. Ei bine exista solutia "switch to classic mail just one time". Solutia este foarte simpla si depinde de... un url. Cand bagati cookie in browser aveti grija sa nu va mai logati din prima pe mail.yahoo.com. Folositi linkul:

http://us.mg1.mail.yahoo.com/ym/login?ymv=0

Acesta va accesa mailul classic fara a schimba permanent setarile originale pe care proprietarul contului le-a lasat. Simplu nu?

Pentru cultura voastra generala aruncati o privire si pe

http://us.mg1.mail.yahoo.com/dc/system_requirements?browser=unsupported

9. Trick - cum sa te loghezi folosind un simplu link

Nu stiu la ce v-ar putea folosi insa uitati 2 linkuri de logare:

http://n16.login.scd.yahoo.com/config?login=USERNAME&passwd=PASSWORD

http://edit.india.yahoo.com/config/login?.patner=sbc&passwd=PASSWORD&login=USERNAME&.save=0

10. Yahoo! Wiki - phishing cu ajutorul Yahoo!

Stiati de existenta Yahoo! Wiki? Probabil ca nu. Iata pentru ce a fost creeat:

http://developer.yahoo.net/hackday-wiki/index.cgi?action=revisions&page_name=HomePage&revision_id=22

Si iata cum se mai poate folosi:

http://developer.yahoo.net/hackday-wiki/index.cgi?NemessisRSTZONE

Notiunea de url spoof este foarte cunoscuta pentru majoritatea. Insa uneori nici nu mai e nevoie de asa ceva. Va puteti creea singuri o pagina pe acel wiki si sa introduceti orice content. Puteti injura pe cineva sau puteti cere userele si parolele celor ce citesc pagina respectiva. Frumusetea este ca puteti personaliza linkul folosit la phishing. Spre exemplu pagina:

http://developer.yahoo.net/hackday-wiki/index.cgi?NemessisRSTZONE va fi creeata in clipa in care o voi accesa. Voi da edit si voi pune continutul meu (spre exemplu I'm a legit Yahoo service. Just send me your password at hacker@yahoo.com)

Oare in zilele noastre cati oameni ar crede un mesaj de tip phishing hostat pe o pagina a Yahoo? Presupun ca extrem de multi. O asemenea scapare nu ar trebui sa existe tocmai din partea uneia dintre cele mai atacate companii din lume.

11. Necunoscute sunt caile sesiunilor

Surpriza! Stiti ca exista limita de 24 de ore dupa care cookie-ul expira? Ei bine nu e chiar asa. Slick a descoperit o metoda sa ii prelungeasca viata cu mult mai mult de atat. Multi se simteau intr-o falsa siguranta cand se gandeau ca in cazul in care devin victime xss vor scapa de probleme in 24 de ore. Acum totul s-a schimbat. Metoda este si va ramane privata.

Link to comment
Share on other sites
Guest Nemessis

Guest Nemessis

Posted
Posted

Mai oamenilor m-ati innebunit. Da un cookie ce tine mai mult de 24 de ore fara sa fi fost umblat la el. Scrie mare si clar chiar in mail ca din motive de securitate cookie expira la 24 de ore. De unde au aparut toti sa zica ca tine 2 saptamani tocmai acuma nu imi dau seama. BanKai I need help in here.

Link to comment
Share on other sites
Guest Nemessis

Guest Nemessis

Posted
Posted

Omule aveam pretentii de la tine. Tu bifezi acolo un autocomplete care iti stocheaza sesiunea activa pe acel pc. Exact ca si cum selectezi aici pe forum auto login. Acum calculeaza logic te rog. Daca chestia aia functioneaza doar pe pc-ul tau unde ai bifat cacatul ala, eu cum fac sa mentin sesiunea activa la cookie-ul tau folosind pc-ul meu?

Link to comment
Share on other sites
moubik Newbie

moubik

Posted
Posted

nu ma cert cu tine, vreau sa inteleg si eu ce se intampla de fapt. :)

sesiunea este tot un cookie. se trimite atunci cand obtii cookie-ul.

acum serios, am cookie-uri mai vechi de 24 de ore care merg, fara sa folosesc metoda lui slick. sincer nu le-am facut nimic. acum eu nu stiu daca proprietarii lor fac ceva pentru a ramane active.

o sa fac niste teste cu un cont de-al meu pe care stiu sigur ce se intampla.

eu sunt logat la yahoo la mai multe calculatoare deodata concomitent (si la job si acasa) si merge ok.

Link to comment
Share on other sites
Guest Nemessis

Guest Nemessis

Posted
Posted

Your login session has expired.

Why does my session expire?

Login sessions expire for two reasons.

1. For your security, your Yahoo! Mail session expires a maximum of twenty-four hours after you have logged in. If you have chosen in your Yahoo! User Information (found be visiting "My Account" next to the Yahoo! Mail logo at the top of this page) to be prompted for a password more frequently than every day, your session will expire after the specified amount of time.

2. If you do not accept the cookies set on login or your computer is not configured to accept cookies, your session will expire almost immediately. We use cookies (small pieces of site information) to assist us in user authentication and in saving configuration information. Cookies are required for Yahoo! Mail.

If you see this message immediately after logging in, you should check the following:

* Check to see that your computer system time is accurate. Cookies are time sensitive and may not work if your computer date is incorrect by a large amount.

* Make sure that your browser is configured to accept cookies or that you agree to accept cookies during the login process.

* Turn off any third party programs or control panels that automatically reject cookies.

Re-login to Yahoo! Mail

Link to comment
Share on other sites
amprenta Newbie

amprenta

Posted
Posted

ma dau cu moubiku aici :)

am un cookie de 3 zile si inca nu a expirat .

Si sa zicem ca metoda voastra functioneaza , ii dati drumu pe piata .

Un user introduce un cookie , il va primi modificat ,folosind functiile facute de SlicK de encode /decode , isi va putea da seama ce s-a modificat la acel cookie si astfel de metoda ?

Link to comment
Share on other sites
katmai Newbie

katmai

Posted
Posted

De aceiasi parere,ca expira in 24 de ore,pentru ca nu are cum sa tina mai mult,cookie isi seteaza time() + 604800 ,adica pentru doua saptamani,doar daca checkboxul a fost bifat,dar eu NU AM OPTIUNEA DE TINE-MA LOGAT activata,si stau deja de doua zile logat,si iam dat ieri T de la cookie la Slick si o zis ca expira ieri seara la 10,dar cookie inca merge.

Link to comment
Share on other sites
Guest Nemessis

Guest Nemessis

Posted
Posted

Facem altfel. Intrati in mail si deselectati daca aveti chestia aia bifata cu 2 saptamani. Scrieti in browser javascript:document.cookie. Copiati cookie si testati-l dupa 25 de ore. Folositi un mail pe care nu il accesati si puneti aici cookies ca sa vedem care tine mai mult.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing
×
×
  • Create New...