Sniffer forum user... Метод слежки за пользователями форумов.

Приветствую всех, кто решил прочитать эту статью, не взирая на ваши мотивы.

Немного введения.

Статья посвящена примеру модификации веб-снифера, аналогичного сниферу s.netsec.ru, для получения ip пользователей форумов в привязке к их никам. Будет немного поясняющих оговорок, для тех кто возможно не в курсе, т.к. Статья ориентировала на всех, кого она может заинтересовать. Пишу в первый раз, по этому прошу ругать, но исключительно с элементами конструктивной критики.

Немного вводной информации

Многие из вас, знакомы с web-снифером, отличным примером которого является небезизвестный, и некогда работающий s.netsec.ru (у меня не открывается). Коротко расскажу о принципе его действия, для тех кто с ним не знаком. Суть его работы, заключается в следующем:

На вашем сайте создается файл(скрипит php), с расширением любого известного графического файла, (jpg, gif, png, etc....). Web-сервер настраиваем на восприятие этого файла как php и записываем в файл не хитрый код. Файл/скрипт сохраняет данные о пользователе запросившем его (user-agent, ip, browser, referer, x-http-forwarded, query_string) и сохраняет в файл или SQL базу. Затем выдает пользователю картинку. Тем самым пользователь считает, что обратился к бинарному файлу, а не к скрипту.

Такие сниферы , нашли широкое применение для эффективной эксплуатации active-XSS. Скрипту передавались cookie жертвы в параметрах (image.jpg?param_str).

Активный сниффер

Итак перейдем к основной части, она будет короткой.

На многих сайтах, но в первую очередь на форумах(т.к. Реч идет о них), отображаются ники пользователей просматривающих данную тему. За частую, одну и ту же тему, одновременно просматривает не большое количество авторизованных пользователей, примерно от 1 до 5. При обращении к нашему сниферу, необходимо проверить от куда обратился пользователь (REFFERER), проверяем регулярные выражением тот ли форум который нам нужен (можно создать массив с необходимыми форумами), и загружаем текст страницы из referer. Т.к. пользователи выводятся в отдельном блоке, а если таковых нет, то не выводится вообще, ищем в коде страницы блок с пользователями. Если он присутствует, то регулярным выражением получаем массив с их никами, и сохраняем в базу.

Итог

В итоге мы имеем ip адрес того, кто просматривает тему с нашей картинкой, а так же ники пользователей занимающихся тем же. Определить, кому какой ip принадлежит, уже не составляет особого труда, это будет пищей для размышлений.

P.S. Надеюсь статья окажется для кого то полезной, может кто то по новой взглянет на возможности таких сниферов...

С уважением, ваш KIR@PRO.

Special for ANTICHAT.ru

ТС,а если в браузере стоит плагин NoScript или любой другой,блокирующий скрипты,то получается,что ip тогда по сему методу не вычислить? Для эксперимента - последние разы заходил с плагином,хотя и без него заходил сегодня (палево страшное )))

Краткость - сестра таланта.Отсутствие "воды" - только суть.

2Alex24

Судя по названию, плагин NoScript, блокирует абсолютно все скрипты на странице, а тут принцип действия в размещении картинки. Моя цель не заполучить ваши Cookie (для этого XSS в форуме искать надо) а получить ваши IP, адрес страницы, при просмотре которой вы загрузили картинку(ну не вы а браузер естественно ), и получить ники зарегистрированных людей с этого форума, просматривающих ту же страницу(путем загрузки страницы форума).

как я понял у тебя картинки отключены... В сообщении со статьей, в самом низу картинка прикреплена, ты её видишь?

Картинку вижу как с NoScript, так и без него.

Картинка идет с адреса: http://rnsd.ru/s.gif

Ой, забыл про часовые пояса... Время на ачате и на моем сервере... Завтра посмотрю отпишусь

Alex24 Я уверен, что вчера ты писал вот с этого ip: 78.1**.*7*.*4

Вся беда в том, что про пояса часовые забывать не стоит)))

P.S. Если надо будет убрать ip из сообщения, то только напиши.

Ну что я могу сказать.....красавчеГ!

Уважаемый, вы под чем??? Вы про что??? Ты название темы перечитай, и содержимое первого поста на пару раз. Кто про суя чё плохого сказал? Я, знаю её и не приветсвую оскорбления в сторону постоянных участников форума! Но твое высокомерное, бессмысленное сообщение, вогнало меня в состояние дикого возмущения!

В тему: "плохому танцору, ноги мешают";[/QUOTE]

altblitz По-моему, ты слегка ушел в лес.

Жалоба? По-моему это просто утвердительное предложение.

А зачем? Тема с названием "Сниффер", никто не писал тут про уязвимость, взлом и лифт прав.

Все новое, хорошо забытое старое. Цель поста- информация для размышления, никак не "взломать, поискать хсс и тп" Я Склоняюсь к тому, что у Вас ЧСВ немного превысило, откуда и получился Ваш пост с негодованием.

PS Про "старые времена". Где же та толерантность к сообществу весьма квалифицированных ИТ-специалистов? Как ни крути, мы преследуем, в общем понятии, одну и ту же цель... (это так, подумать на досуге)

На арене цирка - Олимпийская команда РФ по клоунаде и синхронному плаванию по кляузам!

Они выступают синхронно, спят на одной кроватке и носят плавки - одна штука на двоих.

http://img849.imageshack.us/img849/1953/2013040801.png

PS.

набирая эту мессагу, нашёл одну интересную ошибку на популярном сайте.

пойду сделаю замечание. конструктивное и по дело.