Авторские статьи Sniffer forum user... Методы слежки за пользователями форумов.

Discussion in 'Статьи' started by KIR@PRO, 1 Apr 2013.

  1. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359
    Sniffer forum user... Метод слежки за пользователями форумов.

    Приветствую всех, кто решил прочитать эту статью, не взирая на ваши мотивы. :D
    Немного введения.
    Статья посвящена примеру модификации веб-снифера, аналогичного сниферу s.netsec.ru, для получения ip пользователей форумов в привязке к их никам. Будет немного поясняющих оговорок, для тех кто возможно не в курсе, т.к. Статья ориентировала на всех, кого она может заинтересовать. Пишу в первый раз, по этому прошу ругать, но исключительно с элементами конструктивной критики.

    Немного вводной информации
    Многие из вас, знакомы с web-снифером, отличным примером которого является небезизвестный, и некогда работающий s.netsec.ru (у меня не открывается). Коротко расскажу о принципе его действия, для тех кто с ним не знаком. Суть его работы, заключается в следующем:
    На вашем сайте создается файл(скрипит php), с расширением любого известного графического файла, (jpg, gif, png, etc....). Web-сервер настраиваем на восприятие этого файла как php и записываем в файл не хитрый код. Файл/скрипт сохраняет данные о пользователе запросившем его (user-agent, ip, browser, referer, x-http-forwarded, query_string) и сохраняет в файл или SQL базу. Затем выдает пользователю картинку. Тем самым пользователь считает, что обратился к бинарному файлу, а не к скрипту.

    Такие сниферы , нашли широкое применение для эффективной эксплуатации active-XSS. Скрипту передавались cookie жертвы в параметрах (image.jpg?param_str).

    Активный сниффер
    Итак перейдем к основной части, она будет короткой.
    На многих сайтах, но в первую очередь на форумах(т.к. Реч идет о них), отображаются ники пользователей просматривающих данную тему. За частую, одну и ту же тему, одновременно просматривает не большое количество авторизованных пользователей, примерно от 1 до 5. При обращении к нашему сниферу, необходимо проверить от куда обратился пользователь (REFFERER), проверяем регулярные выражением тот ли форум который нам нужен (можно создать массив с необходимыми форумами), и загружаем текст страницы из referer. Т.к. пользователи выводятся в отдельном блоке, а если таковых нет, то не выводится вообще, ищем в коде страницы блок с пользователями. Если он присутствует, то регулярным выражением получаем массив с их никами, и сохраняем в базу.

    Итог
    В итоге мы имеем ip адрес того, кто просматривает тему с нашей картинкой, а так же ники пользователей занимающихся тем же. Определить, кому какой ip принадлежит, уже не составляет особого труда, это будет пищей для размышлений.



    P.S. Надеюсь статья окажется для кого то полезной, может кто то по новой взглянет на возможности таких сниферов...

    С уважением, ваш KIR@PRO.
    Special for ANTICHAT.ru
     
    _________________________
    #1 KIR@PRO, 1 Apr 2013
    Last edited: 12 May 2013
  2. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    385
    Likes Received:
    56
    Reputations:
    19
    ТС,а если в браузере стоит плагин NoScript или любой другой,блокирующий скрипты,то получается,что ip тогда по сему методу не вычислить? Для эксперимента - последние разы заходил с плагином,хотя и без него заходил сегодня (палево страшное :))))

    Краткость - сестра таланта.Отсутствие "воды" - только суть.
     
    #2 Alex24, 2 Apr 2013
    Last edited: 2 Apr 2013
  3. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359
    2Alex24
    Судя по названию, плагин NoScript, блокирует абсолютно все скрипты на странице, а тут принцип действия в размещении картинки. Моя цель не заполучить ваши Cookie (для этого XSS в форуме искать надо) а получить ваши IP, адрес страницы, при просмотре которой вы загрузили картинку(ну не вы а браузер естественно :D ), и получить ники зарегистрированных людей с этого форума, просматривающих ту же страницу(путем загрузки страницы форума).


    как я понял у тебя картинки отключены... В сообщении со статьей, в самом низу картинка прикреплена, ты её видишь?
     
    _________________________
  4. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    385
    Likes Received:
    56
    Reputations:
    19
    Картинку вижу как с NoScript, так и без него.
    Картинка идет с адреса: http://rnsd.ru/s.gif
     
  5. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359
    Ой, забыл про часовые пояса... Время на ачате и на моем сервере... Завтра посмотрю отпишусь :)
     
    _________________________
    #5 KIR@PRO, 4 Apr 2013
    Last edited: 5 Apr 2013
  6. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359
    Alex24 Я уверен, что вчера ты писал вот с этого ip: 78.1**.*7*.*4

    Вся беда в том, что про пояса часовые забывать не стоит)))

    P.S. Если надо будет убрать ip из сообщения, то только напиши.
     
    _________________________
  7. Alex24

    Alex24 Member

    Joined:
    5 Sep 2010
    Messages:
    385
    Likes Received:
    56
    Reputations:
    19
    Ну что я могу сказать.....красавчеГ! ;)
     
  8. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359


    Уважаемый, вы под чем??? Вы про что??? Ты название темы перечитай, и содержимое первого поста на пару раз. Кто про суя чё плохого сказал? Я, знаю её и не приветсвую оскорбления в сторону постоянных участников форума! Но твое высокомерное, бессмысленное сообщение, вогнало меня в состояние дикого возмущения!

    В тему: "плохому танцору, ноги мешают";[/QUOTE]
     
    _________________________
    #8 KIR@PRO, 6 Apr 2013
    Last edited: 26 Jun 2015
  9. FoxMulder77

    FoxMulder77 Member

    Joined:
    9 Nov 2010
    Messages:
    113
    Likes Received:
    8
    Reputations:
    14
    altblitz По-моему, ты слегка ушел в лес.
    Жалоба? По-моему это просто утвердительное предложение.
    А зачем? Тема с названием "Сниффер", никто не писал тут про уязвимость, взлом и лифт прав.
    Все новое, хорошо забытое старое. Цель поста- информация для размышления, никак не "взломать, поискать хсс и тп" Я Склоняюсь к тому, что у Вас ЧСВ немного превысило, откуда и получился Ваш пост с негодованием.
    PS Про "старые времена". Где же та толерантность к сообществу весьма квалифицированных ИТ-специалистов? Как ни крути, мы преследуем, в общем понятии, одну и ту же цель... (это так, подумать на досуге) ;)
     
    #9 FoxMulder77, 8 Apr 2013
    Last edited: 8 Apr 2013
    1 person likes this.
  10. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,691
    Likes Received:
    3,145
    Reputations:
    236
    Как тебя найти мне, мой доброжелатель
    Истины искатель, вечный правдолюб
    Ты живешь на свете, бьясь за добродетель
    Тих и незаметен, бдителен и лют

    Из меня, ты смог извлечь уроки
    От беды - соседей спас
    Чтобы вскрыть мои пороки
    Нужен очень зоркий глаз

    Мозаика - Доброжелатель

    На арене цирка - Олимпийская команда РФ по клоунаде и синхронному плаванию по кляузам!

    Они выступают синхронно, спят на одной кроватке и носят плавки - одна штука на двоих.

    [​IMG]

    PS.
    набирая эту мессагу, нашёл одну интересную ошибку на популярном сайте.
    пойду сделаю замечание. конструктивное и по дело.
     
  11. winstrool

    winstrool ~~*MasterBlind*~~

    Joined:
    6 Mar 2007
    Messages:
    1,414
    Likes Received:
    911
    Reputations:
    863
    В тематику ТС'a как пищу для размышления имеет смысл рассмотреть следующий аспект... подобным методом мы выявляем IP потенциальной жертвы и user-agent. в результате чего мы можем просканировать средствами пхп на наличие потенциально уязвимых обьектов. Вот представте у нас есть IP и ось, идем на bugtrack и берем удаленный експлоит, реализуем php-сканер на наличие открытых, потенциально уязвимых портов, конектимся, через сокеты реализуем посылку пакета реализующего уязвимость, посылаем шелкод и профит! а теперь представте перспективу пдобного проекта, десятки форумов, с десятками тысячь уников, интиресно каков будет профит?!...

    P.S:Пища для ума!
     
    _________________________
    qwaszx000, Юго and KIR@PRO like this.
  12. miosaki

    miosaki New Member

    Joined:
    5 Jan 2013
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Кто может такое в реальности сделать?

    ребята я не спец в этом всём но идея мне довольно понравилась! Очень отличная идея! Будьте добры - кто может показать в реальности как оно работает?
    Ответьте плиз - [email protected]
     
    #12 miosaki, 27 Jul 2013
    Last edited: 27 Jul 2013
  13. Chrome~

    Chrome~ Elder - Старейшина

    Joined:
    13 Dec 2008
    Messages:
    936
    Likes Received:
    162
    Reputations:
    27
    Профит будет чуть меньше, чем нулевой.
    Большинство пользователей за NAT сидят и от удаленных эксплоитов тоже мало толку будет.
     
  14. Pepyaka

    Pepyaka New Member

    Joined:
    10 Feb 2014
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Как осуществить просмотр реферера пользователя если отслеживаемый форум работает через https,а мой сниф на http?Реферер не передаётся с https на http.
     
  15. KIR@PRO

    KIR@PRO from Exception

    Joined:
    26 Dec 2007
    Messages:
    826
    Likes Received:
    291
    Reputations:
    359
    Ну в таком случае ни как, а если снифер, запустить параллельно на https, то можно.
     
    _________________________