elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Spradear Facebook y Credenciales de Twetter IEXPLORER		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Spradear Facebook y Credenciales de Twetter IEXPLORER  (Leído 11,770 veces)
Jaixon Jax


Desconectado Desconectado

Mensajes: 859



Ver Perfil
Spradear Facebook y Credenciales de Twetter IEXPLORER
« en: 19 Noviembre 2010, 05:47 am »
  Bueno me decidi husmear en las reds sociales y empece con facebook logrando algo....  :silbar:

  En muchos sitios por alli sobre todo en el blog de YST lei que para intercalar MP en Facebook habria que hookear apis de wininet y  en cierto grado es verdad, si hookeamos la api HttpSendRequestW en IExplorer podemos interceptar las credenciales del facebook antes de pasar por las ssl en el cuarto parametro de la API:

 
Código:
BOOL HttpSendRequest(
  HINTERNET hRequest,
  LPCTSTR lpszHeaders,
  DWORD dwHeadersLength,
  LPVOID lpOptional,
  DWORD dwOptionalLength
);


  Obtenemos una cadena como esta:

Código:
charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&return_session=0&legacy_return=1&display=&session_key_only=0&trynum=1&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&email=algunloco@hotmail.com&pass=algunpass&persistent=1&login=Entrar܆µ

  podemos filtrar esta cadena en el hook buscando señas como "charset_test=" y "email=" y guardarla en un archivo o enviarlas directamente por sockets ..  :silbar:

  Pero este no es mi objetivo mi fin es lograr intercalar una URL maliciosa en un MP  :silbar: .......

  Por lo que despues de debbugear y hookear varias apis de wininet decidi hacerlo a la Chuck Norris: "HOOKEANDO SEND" .....  >:D ....

  En el momento de enviar un MP por el fakebook  :silbar: IExplorer realiza un send enviando una cadena como esta:

  
Código:
status=hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1

  Como veran despues de status= esta el mensaje con unos feos %20 que sustituyen los espacios si queremos intercalar algun mensaje tendriamos que crear un buffer asi:

Código:
status=Feliz%20dia%20de%20san%20Valentin%20http:\\lamerruso.com\\mibicho.exe%20

 y le concatenamos la cadena original desde &action= quedando algo asi ....

 
Código:
status=Feliz%20dia%20de%20san%20Valentin%20hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1

  Y al enviar la cadena lleva la URL intercalada  :silbar: .........

  Con Twetter estaba probando algo con el hook a la api HttpSendRequestW se puede obtener las credenciales filtrando una cadena como esta:

  
Código:
authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&return_to_ssl=&redirect_after_login=&session%5Busername_or_email%5D=twettermaniaco@hotmail.com&session%5Bpassword%5D=semeolvido&commit=Iniciar+Sesi%C3%B3n˜Úª

  se puede filtrar buscando señas y como veran alli estan las credenciales antes de pasar por las ssl  :silbar: .........

  Iva a intentar intercalar twets maliciosos pero por alguna extraña razon la pagina de twetter tiene problemas  :silbar: ......


  PD: No subo source aqui esta la idea  :silbar: no quiero que algun "experto" propague malware asi no mas sin esforzarce XD  :silbar:


  Saludos..  >:D
« Última modificación: 19 Noviembre 2010, 05:52 am por Jaixon Jax » En línea
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #1 en: 19 Noviembre 2010, 14:03 pm »
Buenísimo tío, en cuanto saque un rato lo pruebo, aunque para ello tenga que hacerme una cuenta de Facebook  ;D. Muy buen trabajo  ;D.

Saludos
En línea

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #2 en: 19 Noviembre 2010, 14:19 pm »
Hace tiempo hice algo parecido, el principal problema es que con Firefox no funciona  :P en mis pruebas intentaba hookear el send en Firefox y no me proporcionaba ningún resultado. La respuesta es que firefox no usa Send para enviar datos (PR_Write). Supongo que si se debuggeara esta llamada se podría sacar la API usada del sistema.

Te animo que extiendas tu código a Firefox  :)

Un Saludo  ;)
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
skapunky
Electronik Engineer &
Colaborador
***
Desconectado Desconectado

Mensajes: 3.668



Ver Perfil WWW
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #3 en: 19 Noviembre 2010, 14:24 pm »
Hace tiempo, en la versión actual de firefox no se si se puede, se podía hookear  "PR_read" de la libreria nspr4.dll para snifear trafico utilizando el Mozilla Firefox.

De hecho, también leí (no lo pude comprobar) que se podia hookear PR_write y añadir extérnamente las strings que quisíeramos, imagino que la idea debe ser parecida a la de aquello entonces. Muchos gusanos lo utilizavan, sobre todo los relacionados con fraudes de sitios bancarios.

PD: Hendrix, los dos hemos empezado con "Hace tiempo.." xd.
« Última modificación: 19 Noviembre 2010, 14:25 pm por skapunky » En línea
Portfolio de criptomonedas seguro mediante navegador: ENTRAR BITFOLIO
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #4 en: 19 Noviembre 2010, 14:32 pm »
Recuerdo que YST estaba haciendo / hizo algo parecido que funcionaba bien IE y Firefox, con Firefox lo hacía con PR_Write de la NSPR4.DLL, cuya ruta cambia, y el Chrome hay una API similar.

Saludos
En línea

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #5 en: 19 Noviembre 2010, 14:37 pm »
Hace tiempo que creo que hay métodos más sencillos y eficientes (tenía que empezar con "Hace tiempo ..." :xD).
Es decir, así estas limitado a que el usuario este conectado, resulta "mejor" obtener las contraseñas de facebook y que el bicho envíe a diestra y siniestra. No obstante, la ventaja que plantea esto es que el envío se hace incrustado en un mensaje legítimo, lo que hace más posible que alguien "caiga" :D (por eso las comillas del mejor)

Saludos

P.D: hacen falta más post como este :D
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #6 en: 19 Noviembre 2010, 14:48 pm »
Cita de: Novlucker en 19 Noviembre 2010, 14:37 pm
Hace tiempo que creo que hay métodos más sencillos y eficientes (tenía que empezar con "Hace tiempo ..." :xD).
Es decir, así estas limitado a que el usuario este conectado, resulta "mejor" obtener las contraseñas de facebook y que el bicho envíe a diestra y siniestra. No obstante, la ventaja que plantea esto es que el envío se hace incrustado en un mensaje legítimo, lo que hace más posible que alguien "caiga" :D (por eso las comillas del mejor)

Saludos

P.D: hacen falta más post como este :D


Lo del "hace tiempo" fue coincidencia  :xD

Lo que comentas lo veo algo más "peregrino", ya que si fuese un virus tendría que realizar una conexión a facebook o al sitio victima, si se tiene un firewall o se monitorizan las conexiones se podría detectar esta conexión.

Mediante un hook a PR_Write y a PR_Read se podría enviar el texto malicioso modificando los datos en PR_Write y ocultarlo al usuario que lo envió mediante PR_Read (para que no vea una URL extraña en el mensaje que el mismo escribió).

Se posdría hacer un modulo bastante interesante con estas ideas  :)

Cita de: Novlucker en 19 Noviembre 2010, 14:37 pm
P.D: hacen falta más post como este :D

Pues si  :)
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
kisk

Desconectado Desconectado

Mensajes: 55



Ver Perfil
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #7 en: 19 Noviembre 2010, 16:11 pm »
Cita de: [Zero] en 19 Noviembre 2010, 14:32 pm
Recuerdo que YST estaba haciendo / hizo algo parecido que funcionaba bien IE y Firefox, con Firefox lo hacía con PR_Write de la NSPR4.DLL, cuya ruta cambia, y el Chrome hay una API similar.

Saludos

Lo que cambia es la posicioin de memoria osea no siempre se carga en la misma direccion al contrario del general


Respecto al tema dejo un codigo que hacia un hook a firefox , es un experimento que hice ya hace mucho tiempo a si que no lo critiquen xD


Código:
http://www.megaupload.com/?d=SJ758FP7
« Última modificación: 19 Noviembre 2010, 17:46 pm por [Zero] » En línea
La vieja escuela me da nostalgia la nueva me da naucias dime cual es la escuela si ambas me deprimen (8)
[Zero]
Wiki

Desconectado Desconectado

Mensajes: 1.082


CALL DWORD PTR DS:[0]


Ver Perfil WWW
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #8 en: 19 Noviembre 2010, 17:46 pm »
Cita de: kisk en 19 Noviembre 2010, 16:11 pm
Lo que cambia es la posicioin de memoria osea no siempre se carga en la misma direccion al contrario del general


Respecto al tema dejo un codigo que hacia un hook a firefox , es un experimento que hice ya hace mucho tiempo a si que no lo critiquen xD


Código:
http://www.megaupload.com/?d=SJ758FP7

Pues a ver si te explicas mejor por MSN, no hay quien te entienda  :xD. Se me ocurrió que igual se puede hacer de una forma universal para todos los navegadores, tal vez interceptando alguna API como wsprintf o VirtualAllocEx se pueden obtener esos mismos datos antes de lo de SSL, no probé, pero igual funciona.

Saludos
En línea

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche
[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513

El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
« Respuesta #9 en: 19 Noviembre 2010, 22:26 pm »
Hace tiempo creo que hice un Hook parecido pero para obtener contraseñas de Hi5... pero fue Hace tiempo, cuando esa Red Social no era un pueblo fantasma.
En línea
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Credenciales al conectarme con red inalambrica
Redes 		jormen 2 10,608 Último mensaje 12 Junio 2010, 18:42 pm
por simorg
Twetter
Foro Libre 		yop 2 5,727 Último mensaje 22 Julio 2010, 04:08 am
por Castiblanco
Credenciales
Desarrollo Web 		chispita68 5 5,898 Último mensaje 22 Agosto 2010, 23:47 pm
por chispita68
Notificaciones falsas de Facebook solicitan las credenciales para robarlas
Noticias 		wolfbcn 0 1,908 Último mensaje 31 Julio 2014, 21:30 pm
por wolfbcn
ROBO CREDENCIALES FACEBOOK!
Seguridad 		bunyoli10 1 4,922 Último mensaje 26 Diciembre 2014, 17:53 pm
por Varlch
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines