Título: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Jaixon Jax en 19 Noviembre 2010, 05:47 am
Bueno me decidi husmear en las reds sociales y empece con facebook logrando algo.... :silbar: En muchos sitios por alli sobre todo en el blog de YST lei que para intercalar MP en Facebook habria que hookear apis de wininet y en cierto grado es verdad, si hookeamos la api HttpSendRequestW en IExplorer podemos interceptar las credenciales del facebook antes de pasar por las ssl en el cuarto parametro de la API: BOOL HttpSendRequest(
HINTERNET hRequest,
LPCTSTR lpszHeaders,
DWORD dwHeadersLength,
LPVOID lpOptional,
DWORD dwOptionalLength
);
Obtenemos una cadena como esta: charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&return_session=0&legacy_return=1&display=&session_key_only=0&trynum=1&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&email=algunloco@hotmail.com&pass=algunpass&persistent=1&login=EntrarÜ�†�µ podemos filtrar esta cadena en el hook buscando señas como "charset_test=" y "email=" y guardarla en un archivo o enviarlas directamente por sockets .. :silbar: Pero este no es mi objetivo mi fin es lograr intercalar una URL maliciosa en un MP :silbar: ....... Por lo que despues de debbugear y hookear varias apis de wininet decidi hacerlo a la Chuck Norris: "HOOKEANDO SEND" ..... >:D .... En el momento de enviar un MP por el fakebook :silbar: IExplorer realiza un send enviando una cadena como esta: status=hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1 Como veran despues de status= esta el mensaje con unos feos %20 que sustituyen los espacios si queremos intercalar algun mensaje tendriamos que crear un buffer asi: status=Feliz%20dia%20de%20san%20Valentin%20http:\\lamerruso.com\\mibicho.exe%20 y le concatenamos la cadena original desde &action= quedando algo asi .... status=Feliz%20dia%20de%20san%20Valentin%20hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1 Y al enviar la cadena lleva la URL intercalada :silbar: ......... Con Twetter estaba probando algo con el hook a la api HttpSendRequestW se puede obtener las credenciales filtrando una cadena como esta: authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&return_to_ssl=&redirect_after_login=&session%5Busername_or_email%5D=twettermaniaco@hotmail.com&session%5Bpassword%5D=semeolvido&commit=Iniciar+Sesi%C3%B3n˜Úª�� se puede filtrar buscando señas y como veran alli estan las credenciales antes de pasar por las ssl :silbar: ......... Iva a intentar intercalar twets maliciosos pero por alguna extraña razon la pagina de twetter tiene problemas :silbar: ...... PD: No subo source aqui esta la idea :silbar: no quiero que algun "experto" propague malware asi no mas sin esforzarce XD :silbar: Saludos.. >:D
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: [Zero] en 19 Noviembre 2010, 14:03 pm
Buenísimo tío, en cuanto saque un rato lo pruebo, aunque para ello tenga que hacerme una cuenta de Facebook ;D. Muy buen trabajo ;D.
Saludos
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Hendrix en 19 Noviembre 2010, 14:19 pm
Hace tiempo hice algo parecido, el principal problema es que con Firefox no funciona :P en mis pruebas intentaba hookear el send en Firefox y no me proporcionaba ningún resultado. La respuesta es que firefox no usa Send para enviar datos (PR_Write (https://developer.mozilla.org/en/PR_Write)). Supongo que si se debuggeara esta llamada se podría sacar la API usada del sistema.
Te animo que extiendas tu código a Firefox :)
Un Saludo ;)
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: skapunky en 19 Noviembre 2010, 14:24 pm
Hace tiempo, en la versión actual de firefox no se si se puede, se podía hookear "PR_read" de la libreria nspr4.dll para snifear trafico utilizando el Mozilla Firefox.
De hecho, también leí (no lo pude comprobar) que se podia hookear PR_write y añadir extérnamente las strings que quisíeramos, imagino que la idea debe ser parecida a la de aquello entonces. Muchos gusanos lo utilizavan, sobre todo los relacionados con fraudes de sitios bancarios.
PD: Hendrix, los dos hemos empezado con "Hace tiempo.." xd.
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: [Zero] en 19 Noviembre 2010, 14:32 pm
Recuerdo que YST estaba haciendo / hizo algo parecido que funcionaba bien IE y Firefox, con Firefox lo hacía con PR_Write de la NSPR4.DLL, cuya ruta cambia, y el Chrome hay una API similar.
Saludos
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Novlucker en 19 Noviembre 2010, 14:37 pm
Hace tiempo que creo que hay métodos más sencillos y eficientes (tenía que empezar con "Hace tiempo ..." :xD).
Es decir, así estas limitado a que el usuario este conectado, resulta "mejor" obtener las contraseñas de facebook y que el bicho envíe a diestra y siniestra. No obstante, la ventaja que plantea esto es que el envío se hace incrustado en un mensaje legítimo, lo que hace más posible que alguien "caiga" :D (por eso las comillas del mejor)
Saludos
P.D: hacen falta más post como este :D
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Hendrix en 19 Noviembre 2010, 14:48 pm
Hace tiempo que creo que hay métodos más sencillos y eficientes (tenía que empezar con "Hace tiempo ..." :xD).
Es decir, así estas limitado a que el usuario este conectado, resulta "mejor" obtener las contraseñas de facebook y que el bicho envíe a diestra y siniestra. No obstante, la ventaja que plantea esto es que el envío se hace incrustado en un mensaje legítimo, lo que hace más posible que alguien "caiga" :D (por eso las comillas del mejor)
Saludos
P.D: hacen falta más post como este :D
Lo del "hace tiempo" fue coincidencia :xD Lo que comentas lo veo algo más "peregrino", ya que si fuese un virus tendría que realizar una conexión a facebook o al sitio victima, si se tiene un firewall o se monitorizan las conexiones se podría detectar esta conexión. Mediante un hook a PR_Write y a PR_Read se podría enviar el texto malicioso modificando los datos en PR_Write y ocultarlo al usuario que lo envió mediante PR_Read (para que no vea una URL extraña en el mensaje que el mismo escribió). Se posdría hacer un modulo bastante interesante con estas ideas :) P.D: hacen falta más post como este :D
Pues si :)
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: kisk en 19 Noviembre 2010, 16:11 pm
Recuerdo que YST estaba haciendo / hizo algo parecido que funcionaba bien IE y Firefox, con Firefox lo hacía con PR_Write de la NSPR4.DLL, cuya ruta cambia, y el Chrome hay una API similar.
Saludos
Lo que cambia es la posicioin de memoria osea no siempre se carga en la misma direccion al contrario del general Respecto al tema dejo un codigo que hacia un hook a firefox , es un experimento que hice ya hace mucho tiempo a si que no lo critiquen xD http://www.megaupload.com/?d=SJ758FP7
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: [Zero] en 19 Noviembre 2010, 17:46 pm
Lo que cambia es la posicioin de memoria osea no siempre se carga en la misma direccion al contrario del general Respecto al tema dejo un codigo que hacia un hook a firefox , es un experimento que hice ya hace mucho tiempo a si que no lo critiquen xD http://www.megaupload.com/?d=SJ758FP7 Pues a ver si te explicas mejor por MSN, no hay quien te entienda :xD. Se me ocurrió que igual se puede hacer de una forma universal para todos los navegadores, tal vez interceptando alguna API como wsprintf o VirtualAllocEx se pueden obtener esos mismos datos antes de lo de SSL, no probé, pero igual funciona. Saludos
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: [L]ord [R]NA en 19 Noviembre 2010, 22:26 pm
Hace tiempo creo que hice un Hook parecido pero para obtener contraseñas de Hi5... pero fue Hace tiempo, cuando esa Red Social no era un pueblo fantasma.
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Jaixon Jax en 20 Noviembre 2010, 00:53 am
Pues me alegro que les haya gustado ya logre interceptar myspace y mi red social favorita: "TAGGED" es de pago pero es super :) con myspace hay que parcear con precision de cirujano por que el mensaje esta en el medio de la cadena enviada por send ....... Mañana subo el concepto ..... :silbar: y el lunes voy con firefox :xD ........
Saludos ..... :D
PD: Al parecer lo unico que pasan por las ssl son las credenciales >:D
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Hendrix en 24 Noviembre 2010, 13:40 pm
E estado programando este método para Facebook, lo tengo todo listo, me detecta el mensaje, me incrusta el texto que yo quiera y le hace el hook al send (probado en IE). El problema es que los de facebook no son tontos del todo y me dicen que no puedo enviar el mensaje modificado.
Lo primero que pensé es que debe de haber algún CRC del mensaje que detecta que el mensaje está modificado. supongo que es un campo que se envía junto con todo el paquete de datos que se tiene que generar en el momento en que se va escribiendo el mensaje, de lo contrario es imposible que sepan que el texto ha sido modificado :-\ Algún script?? Que alguien investigue un rato, luego por la tarde me pongo yo ;)
Creo que el campo a vigilar es &composer_id=
Ya que es el único que me cambia.
Saludetes :)
Mod:
No iba tan mal encaminado, aquí tienen un poco más de info:
http://my.opera.com/quakerdoomer/blog/fbcontroller-facebook-controller-the-ultimate-facebook-controller-without-the-pa
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Jaixon Jax en 24 Noviembre 2010, 17:37 pm
Hombre si funciona :silbar: lo probe en IEXPLORER 6 y 8 y funca :xD ......
Enviando un mensaje:
(http://img841.imageshack.us/img841/7039/fakebook1.jpg)
Luego me logie en la otra cuenta y mire :P
(http://img17.imageshack.us/img17/5291/fakebook2.jpg)
Ahora una cosa es pinchar una cadena al mensaje y otra muy diferente es meter una URL :xD Fakebook filtra las url y si son sospechozas simplemente no envia el mensaje y aparece un feo cartel diciendo que el mensaje ha sido denunciado como ilegal ... :P .... Esto para el que quiere meter una URL con lycos u algun dominio NO-IP simplemente no se puede enviar >:( pero se me ocurrio que se puede crear un blog y alli alojar la URL con bastante ingenieria social ..... y spradear la url del Blog ... :silbar: asi funciona, waledac y koobface hacen algo similar ellos te direccionan por varios sitios hasta infectarte .... :silbar: .....
A la tarde te envio el source por MP esta algo cutre :-[ pero funciona :) .... Asi le hechas un vistazo en el momento de cerrar IEXPLORER aparecen unas feas exepciones :(
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Hendrix en 24 Noviembre 2010, 18:32 pm
Pero eso no son Mensajes de correo, yo lo hago desde el correo, me lo envío a mi propia cuenta, si no están modificados me permite enviarlos y los recibo, si están modificados me da error.
Título: Re: Spradear Facebook y Credenciales de Twetter IEXPLORER
Publicado por: Jaixon Jax en 24 Noviembre 2010, 18:41 pm
Son Mensajes Personales :) enviados desde el mismo Facebook lo que he planteado es interceptar estos mensajes desde la misma interfaz de facebook y añadirles un trozo malicioso ..... !No entiendo lo de los correos¡ :-( ...
El link que colocaste esta Super Gracias .... :D
|