Spradear Facebook y Credenciales de Twetter IEXPLORER

Iniciado por Jaixon Jax, 19 Noviembre 2010, 05:47 AM

0 Miembros y 1 Visitante están viendo este tema.

Jaixon Jax

  Bueno me decidi husmear en las reds sociales y empece con facebook logrando algo....  :silbar:

 En muchos sitios por alli sobre todo en el blog de YST lei que para intercalar MP en Facebook habria que hookear apis de wininet y  en cierto grado es verdad, si hookeamos la api HttpSendRequestW en IExplorer podemos interceptar las credenciales del facebook antes de pasar por las ssl en el cuarto parametro de la API:


BOOL HttpSendRequest(
 HINTERNET hRequest,
 LPCTSTR lpszHeaders,
 DWORD dwHeadersLength,
 LPVOID lpOptional,
 DWORD dwOptionalLength
);


 Obtenemos una cadena como esta:

charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&return_session=0&legacy_return=1&display=&session_key_only=0&trynum=1&charset_test=%E2%82%AC%2C%C2%B4%2C%E2%82%AC%2C%C2%B4%2C%E6%B0%B4%2C%D0%94%2C%D0%84&lsd=CLE74&email=algunloco@hotmail.com&pass=algunpass&persistent=1&login=Entrar܆µ

 podemos filtrar esta cadena en el hook buscando señas como "charset_test=" y "email=" y guardarla en un archivo o enviarlas directamente por sockets ..  :silbar:

 Pero este no es mi objetivo mi fin es lograr intercalar una URL maliciosa en un MP  :silbar: .......

 Por lo que despues de debbugear y hookear varias apis de wininet decidi hacerlo a la Chuck Norris: "HOOKEANDO SEND" .....  >:D ....

 En el momento de enviar un MP por el fakebook  :silbar: IExplorer realiza un send enviando una cadena como esta:

 status=hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1

 Como veran despues de status= esta el mensaje con unos feos %20 que sustituyen los espacios si queremos intercalar algun mensaje tendriamos que crear un buffer asi:

status=Feliz%20dia%20de%20san%20Valentin%20http:\\lamerruso.com\\mibicho.exe%20

y le concatenamos la cadena original desde &action= quedando algo asi ....

status=Feliz%20dia%20de%20san%20Valentin%20hola%20mundo&action=send_reply&home_tab_id=1&profile_id=100000155542630&target_id=0&app_id=&&composer_id=c4ce5f8ca5612e1419225556&hey_kid_im_a_composer=true&thread=1304306924347&msg_id&post_form_id=1c94d03e13c7811d1d4bc3f3c9faf420&fb_dtsg=-wA4J&lsd&_log_action=send_reply&_log_thread=1304306924347&_log_msg_id&ajax_log=1&post_form_id_source=AsyncRequestPOST /logout.php HTTP/1.1

 Y al enviar la cadena lleva la URL intercalada  :silbar: .........

 Con Twetter estaba probando algo con el hook a la api HttpSendRequestW se puede obtener las credenciales filtrando una cadena como esta:

 authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&authenticity_token=3c2e284418861cb85cb6994e3c1c1c3259fe1a7f&return_to_ssl=&redirect_after_login=&session%5Busername_or_email%5D=twettermaniaco@hotmail.com&session%5Bpassword%5D=semeolvido&commit=Iniciar+Sesi%C3%B3n˜Úª

 se puede filtrar buscando señas y como veran alli estan las credenciales antes de pasar por las ssl  :silbar: .........

 Iva a intentar intercalar twets maliciosos pero por alguna extraña razon la pagina de twetter tiene problemas  :silbar: ......


 PD: No subo source aqui esta la idea  :silbar: no quiero que algun "experto" propague malware asi no mas sin esforzarce XD  :silbar:


 Saludos..  >:D


[Zero]

Buenísimo tío, en cuanto saque un rato lo pruebo, aunque para ello tenga que hacerme una cuenta de Facebook  ;D. Muy buen trabajo  ;D.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Hendrix

Hace tiempo hice algo parecido, el principal problema es que con Firefox no funciona  :P en mis pruebas intentaba hookear el send en Firefox y no me proporcionaba ningún resultado. La respuesta es que firefox no usa Send para enviar datos (PR_Write). Supongo que si se debuggeara esta llamada se podría sacar la API usada del sistema.

Te animo que extiendas tu código a Firefox  :)

Un Saludo  ;)
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

skapunky

#3
Hace tiempo, en la versión actual de firefox no se si se puede, se podía hookear  "PR_read" de la libreria nspr4.dll para snifear trafico utilizando el Mozilla Firefox.

De hecho, también leí (no lo pude comprobar) que se podia hookear PR_write y añadir extérnamente las strings que quisíeramos, imagino que la idea debe ser parecida a la de aquello entonces. Muchos gusanos lo utilizavan, sobre todo los relacionados con fraudes de sitios bancarios.

PD: Hendrix, los dos hemos empezado con "Hace tiempo.." xd.
Killtrojan Syslog v1.44: ENTRAR

[Zero]

Recuerdo que YST estaba haciendo / hizo algo parecido que funcionaba bien IE y Firefox, con Firefox lo hacía con PR_Write de la NSPR4.DLL, cuya ruta cambia, y el Chrome hay una API similar.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Novlucker

Hace tiempo que creo que hay métodos más sencillos y eficientes (tenía que empezar con "Hace tiempo ..." :xD).
Es decir, así estas limitado a que el usuario este conectado, resulta "mejor" obtener las contraseñas de facebook y que el bicho envíe a diestra y siniestra. No obstante, la ventaja que plantea esto es que el envío se hace incrustado en un mensaje legítimo, lo que hace más posible que alguien "caiga" :D (por eso las comillas del mejor)

Saludos

P.D: hacen falta más post como este :D
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Hendrix

Cita de: Novlucker en 19 Noviembre 2010, 14:37 PM
Hace tiempo que creo que hay métodos más sencillos y eficientes (tenía que empezar con "Hace tiempo ..." :xD).
Es decir, así estas limitado a que el usuario este conectado, resulta "mejor" obtener las contraseñas de facebook y que el bicho envíe a diestra y siniestra. No obstante, la ventaja que plantea esto es que el envío se hace incrustado en un mensaje legítimo, lo que hace más posible que alguien "caiga" :D (por eso las comillas del mejor)

Saludos

P.D: hacen falta más post como este :D


Lo del "hace tiempo" fue coincidencia  :xD

Lo que comentas lo veo algo más "peregrino", ya que si fuese un virus tendría que realizar una conexión a facebook o al sitio victima, si se tiene un firewall o se monitorizan las conexiones se podría detectar esta conexión.

Mediante un hook a PR_Write y a PR_Read se podría enviar el texto malicioso modificando los datos en PR_Write y ocultarlo al usuario que lo envió mediante PR_Read (para que no vea una URL extraña en el mensaje que el mismo escribió).

Se posdría hacer un modulo bastante interesante con estas ideas  :)

Cita de: Novlucker en 19 Noviembre 2010, 14:37 PM
P.D: hacen falta más post como este :D

Pues si  :)
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

kisk

#7
Cita de: [Zero] en 19 Noviembre 2010, 14:32 PM
Recuerdo que YST estaba haciendo / hizo algo parecido que funcionaba bien IE y Firefox, con Firefox lo hacía con PR_Write de la NSPR4.DLL, cuya ruta cambia, y el Chrome hay una API similar.

Saludos

Lo que cambia es la posicioin de memoria osea no siempre se carga en la misma direccion al contrario del general


Respecto al tema dejo un codigo que hacia un hook a firefox , es un experimento que hice ya hace mucho tiempo a si que no lo critiquen xD


http://www.megaupload.com/?d=SJ758FP7
La vieja escuela me da nostalgia la nueva me da naucias dime cual es la escuela si ambas me deprimen (8)

[Zero]

Cita de: kisk en 19 Noviembre 2010, 16:11 PM
Lo que cambia es la posicioin de memoria osea no siempre se carga en la misma direccion al contrario del general


Respecto al tema dejo un codigo que hacia un hook a firefox , es un experimento que hice ya hace mucho tiempo a si que no lo critiquen xD


http://www.megaupload.com/?d=SJ758FP7

Pues a ver si te explicas mejor por MSN, no hay quien te entienda  :xD. Se me ocurrió que igual se puede hacer de una forma universal para todos los navegadores, tal vez interceptando alguna API como wsprintf o VirtualAllocEx se pueden obtener esos mismos datos antes de lo de SSL, no probé, pero igual funciona.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

[L]ord [R]NA

Hace tiempo creo que hice un Hook parecido pero para obtener contraseñas de Hi5... pero fue Hace tiempo, cuando esa Red Social no era un pueblo fantasma.