En muchos sitios por alli sobre todo en el blog de YST lei que para intercalar MP en Facebook habria que hookear apis de wininet y en cierto grado es verdad, si hookeamos la api HttpSendRequestW en IExplorer podemos interceptar las credenciales del facebook antes de pasar por las ssl en el cuarto parametro de la API:
Código:
BOOL HttpSendRequest(
HINTERNET hRequest,
LPCTSTR lpszHeaders,
DWORD dwHeadersLength,
LPVOID lpOptional,
DWORD dwOptionalLength
);
Obtenemos una cadena como esta:
Código:
charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&return_session=0&legacy_return=1&display=&session_key_only=0&trynum=1&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&email=algunloco@hotmail.com&pass=algunpass&persistent=1&login=Entrar܆µ
podemos filtrar esta cadena en el hook buscando señas como "charset_test=" y "email=" y guardarla en un archivo o enviarlas directamente por sockets ..
Pero este no es mi objetivo mi fin es lograr intercalar una URL maliciosa en un MP .......
Por lo que despues de debbugear y hookear varias apis de wininet decidi hacerlo a la Chuck Norris: "HOOKEANDO SEND" ..... ....
En el momento de enviar un MP por el fakebook IExplorer realiza un send enviando una cadena como esta:
Código:
status=hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1
Como veran despues de status= esta el mensaje con unos feos %20 que sustituyen los espacios si queremos intercalar algun mensaje tendriamos que crear un buffer asi:
Código:
status=Feliz%20dia%20de%20san%20Valentin%20http:\\lamerruso.com\\mibicho.exe%20
y le concatenamos la cadena original desde &action= quedando algo asi ....
Código:
status=Feliz%20dia%20de%20san%20Valentin%20hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1
Y al enviar la cadena lleva la URL intercalada .........
Con Twetter estaba probando algo con el hook a la api HttpSendRequestW se puede obtener las credenciales filtrando una cadena como esta:
Código:
authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&return_to_ssl=&redirect_after_login=&session%5Busername_or_email%5D=twettermaniaco@hotmail.com&session%5Bpassword%5D=semeolvido&commit=Iniciar+Sesi%C3%B3n˜Úª
se puede filtrar buscando señas y como veran alli estan las credenciales antes de pasar por las ssl .........
Iva a intentar intercalar twets maliciosos pero por alguna extraña razon la pagina de twetter tiene problemas ......
PD: No subo source aqui esta la idea no quiero que algun "experto" propague malware asi no mas sin esforzarce XD
Saludos..