Sniffer forum user... Метод слежки за пользователями форумов. Приветствую всех, кто решил прочитать эту статью, не взирая на ваши мотивы. Немного введения. Статья посвящена примеру модификации веб-снифера, аналогичного сниферу s.netsec.ru, для получения ip пользователей форумов в привязке к их никам. Будет немного поясняющих оговорок, для тех кто возможно не в курсе, т.к. Статья ориентировала на всех, кого она может заинтересовать. Пишу в первый раз, по этому прошу ругать, но исключительно с элементами конструктивной критики. Немного вводной информации Многие из вас, знакомы с web-снифером, отличным примером которого является небезизвестный, и некогда работающий s.netsec.ru (у меня не открывается). Коротко расскажу о принципе его действия, для тех кто с ним не знаком. Суть его работы, заключается в следующем: На вашем сайте создается файл(скрипит php), с расширением любого известного графического файла, (jpg, gif, png, etc....). Web-сервер настраиваем на восприятие этого файла как php и записываем в файл не хитрый код. Файл/скрипт сохраняет данные о пользователе запросившем его (user-agent, ip, browser, referer, x-http-forwarded, query_string) и сохраняет в файл или SQL базу. Затем выдает пользователю картинку. Тем самым пользователь считает, что обратился к бинарному файлу, а не к скрипту. Такие сниферы , нашли широкое применение для эффективной эксплуатации active-XSS. Скрипту передавались cookie жертвы в параметрах (image.jpg?param_str). Активный сниффер Итак перейдем к основной части, она будет короткой. На многих сайтах, но в первую очередь на форумах(т.к. Реч идет о них), отображаются ники пользователей просматривающих данную тему. За частую, одну и ту же тему, одновременно просматривает не большое количество авторизованных пользователей, примерно от 1 до 5. При обращении к нашему сниферу, необходимо проверить от куда обратился пользователь (REFFERER), проверяем регулярные выражением тот ли форум который нам нужен (можно создать массив с необходимыми форумами), и загружаем текст страницы из referer. Т.к. пользователи выводятся в отдельном блоке, а если таковых нет, то не выводится вообще, ищем в коде страницы блок с пользователями. Если он присутствует, то регулярным выражением получаем массив с их никами, и сохраняем в базу. Итог В итоге мы имеем ip адрес того, кто просматривает тему с нашей картинкой, а так же ники пользователей занимающихся тем же. Определить, кому какой ip принадлежит, уже не составляет особого труда, это будет пищей для размышлений. P.S. Надеюсь статья окажется для кого то полезной, может кто то по новой взглянет на возможности таких сниферов... С уважением, ваш KIR@PRO. Special for ANTICHAT.ru
ТС,а если в браузере стоит плагин NoScript или любой другой,блокирующий скрипты,то получается,что ip тогда по сему методу не вычислить? Для эксперимента - последние разы заходил с плагином,хотя и без него заходил сегодня (палево страшное ))) Краткость - сестра таланта.Отсутствие "воды" - только суть.
2Alex24 Судя по названию, плагин NoScript, блокирует абсолютно все скрипты на странице, а тут принцип действия в размещении картинки. Моя цель не заполучить ваши Cookie (для этого XSS в форуме искать надо) а получить ваши IP, адрес страницы, при просмотре которой вы загрузили картинку(ну не вы а браузер естественно ), и получить ники зарегистрированных людей с этого форума, просматривающих ту же страницу(путем загрузки страницы форума). как я понял у тебя картинки отключены... В сообщении со статьей, в самом низу картинка прикреплена, ты её видишь?
Alex24 Я уверен, что вчера ты писал вот с этого ip: 78.1**.*7*.*4 Вся беда в том, что про пояса часовые забывать не стоит))) P.S. Если надо будет убрать ip из сообщения, то только напиши.
Уважаемый, вы под чем??? Вы про что??? Ты название темы перечитай, и содержимое первого поста на пару раз. Кто про суя чё плохого сказал? Я, знаю её и не приветсвую оскорбления в сторону постоянных участников форума! Но твое высокомерное, бессмысленное сообщение, вогнало меня в состояние дикого возмущения! В тему: "плохому танцору, ноги мешают";[/QUOTE]
altblitz По-моему, ты слегка ушел в лес. Жалоба? По-моему это просто утвердительное предложение. А зачем? Тема с названием "Сниффер", никто не писал тут про уязвимость, взлом и лифт прав. Все новое, хорошо забытое старое. Цель поста- информация для размышления, никак не "взломать, поискать хсс и тп" Я Склоняюсь к тому, что у Вас ЧСВ немного превысило, откуда и получился Ваш пост с негодованием. PS Про "старые времена". Где же та толерантность к сообществу весьма квалифицированных ИТ-специалистов? Как ни крути, мы преследуем, в общем понятии, одну и ту же цель... (это так, подумать на досуге)
Как тебя найти мне, мой доброжелатель Истины искатель, вечный правдолюб Ты живешь на свете, бьясь за добродетель Тих и незаметен, бдителен и лют Из меня, ты смог извлечь уроки От беды - соседей спас Чтобы вскрыть мои пороки Нужен очень зоркий глаз Мозаика - Доброжелатель На арене цирка - Олимпийская команда РФ по клоунаде и синхронному плаванию по кляузам! Они выступают синхронно, спят на одной кроватке и носят плавки - одна штука на двоих. PS. набирая эту мессагу, нашёл одну интересную ошибку на популярном сайте. пойду сделаю замечание. конструктивное и по дело.
В тематику ТС'a как пищу для размышления имеет смысл рассмотреть следующий аспект... подобным методом мы выявляем IP потенциальной жертвы и user-agent. в результате чего мы можем просканировать средствами пхп на наличие потенциально уязвимых обьектов. Вот представте у нас есть IP и ось, идем на bugtrack и берем удаленный експлоит, реализуем php-сканер на наличие открытых, потенциально уязвимых портов, конектимся, через сокеты реализуем посылку пакета реализующего уязвимость, посылаем шелкод и профит! а теперь представте перспективу пдобного проекта, десятки форумов, с десятками тысячь уников, интиресно каков будет профит?!... P.S:Пища для ума!
Кто может такое в реальности сделать? ребята я не спец в этом всём но идея мне довольно понравилась! Очень отличная идея! Будьте добры - кто может показать в реальности как оно работает? Ответьте плиз - [email protected]
Профит будет чуть меньше, чем нулевой. Большинство пользователей за NAT сидят и от удаленных эксплоитов тоже мало толку будет.
Как осуществить просмотр реферера пользователя если отслеживаемый форум работает через https,а мой сниф на http?Реферер не передаётся с https на http.
