ثغرة XSS بالهوتميل

أسير التشرد · 01/09/2006

رح اوضح اليوم لكم طريقة الاستفادة من ثغرة Xss اللي حالياً الكل عم يستفيد منو باختراق الايميلات طبعاً جربو الطريقة قبل ما يسكروا الثغرة... وبحب ابشركم انو لهلأ ما سكروا الثغرة حتى كتابة هذا الموضوع

اول شي نحمل ملف Xss تحت بالمرفقات وبنفك الضغط عنو

و بعدين نفتح ملف index.php بالمفكرة او اي برنامج تحرير نصوص وبنعدل على الرابط اللي عليه السهم

m6rob.net = الموقع اللي بدك ترفع الملفات عليه
vb =المجلد الى رافع عليه

وبعدين احفظ الملف وفوت على ملف nice.js بالمفكرة او اي برنامج تحرير نصوص وبنعدل على الرابط متل ما عملنا قبل شوي

وبعدها يا معلم ارفع الملفات على المسار اللي انت حاطه شرط يكون المجلد الى رافع عليه الو تصريح 777

حلو كتير بعد ما نرفعه نستدرج الضحية ونخليه يدخل ايميله بأي طريقة (مثلا ترسلو رسالة وهو يفتحها أو أي طريقة تانية...

بعدها حطلو الرابط أول ما يفتح الرابط راح يحوله على موقع وبعدين راح ينتج ملف اسمه cool.htm فيه الكوكيز

ينتج الملف بالمجلد الى انت رافع فيه الـملفات مثلا

- ابو شريك هاي الروابط الي بيحطوها الأعضاء ما بتظهر ترى غير للأعضاء، فيعني اذا ما كنت مسجل و كان بدك اتشوف الرابط (مصرّ ) ففيك اتسجل بإنك تتكى على كلمة سوريا -

text = اسم الموقع
vb = المجلد الى رافع فيه
cool.htm = الملف اللي رح يجي فيه الكوكيز

حلو كتير وممتاز عم نمشي بشكل صحيح لهون وبعد ما يجينا الكوكيز هلأ ما علينا إلا نستخدم برنامج Proxomitron لتحميل البرنامج شوف المرفقات...

بعد ما تفك الضغط عن البرنامج فوت على البرنامج واكبيس على Headers

وبعدين اكبيس على New

1 - اكتب فيه Cookie: a descripsnipe
2- خليه فاضي متلو ما هو
3- حط هون بس نجمه *
4- بتنسخ الكوكيز كامل هون (الكوكيز اللي رح يوصلك رح تحط هون)

حلو كتير بعدين اكبيس Ok

حط اشارة الصح على المربع الى محددة بالصورة وبعدين اضغط Apply وبعدين اضغط Ok

بعدين من المتصفح روح على أدوات > خيارات أنترنت > إتصالات > إعدادات > وحط إشارة الصح على استخدام الملقم الوكيل واكتب بالعنوان 127.0.0.1 وبالمنفذ 8080 واكبيس Ok

بعدين فوت على هالرابط:

- ابو شريك هاي الروابط الي بيحطوها الأعضاء ما بتظهر ترى غير للأعضاء، فيعني اذا ما كنت مسجل و كان بدك اتشوف الرابط (مصرّ ) ففيك اتسجل بإنك تتكى على كلمة سوريا -

وبتلاقي حالك بالانبوكس للكوكيز ألف مبروك عليك هلأ اعمل ريست على الايميل وغير الباسورد

نزل المرفقات منشان عملية الهاكرز

أسير التشرد · 01/09/2006

تنويه هام لا تستخدمو الطريقة على رفقاتكم

بنت الاكارم · 01/09/2006

كم ايميل لهلا سرت مخترق بهالطريقه

الدال على الخير كفاعله

أسير التشرد · 01/09/2006

خسارة سكروا الثغرة اليوم ما عاد فينا نخترق ايميلات الصبايا

qan_blackdeath · 02/09/2006

هلا مان حلو بس الثغرة لسا شغاااااااااااااااالة يا مان تمام التمام
وطريقة برنامج الــــ Proxomitron ما زبطط معي ولا مرة ما تنفع انا انصح في استخدام متصفح اوبرا لانوا اوبرا تقدر تففففففففففففوت على ايميلك عادي وتتطلع الكوكيز بتاعك وتبدله بتاع الضحية وتعمل رفرش ما تلاقي حالك الى في الا inbox بتاعوا
وبعدبم انت اكيد مش راح تقدر تتنقل في ال Inbox الا بعد ما تعمل اجراء بسيط طبعا انا راح احطلكم الشرح فيديو كيف تستخدم الكوكيز في اوبرا
طبعا بعد اذن اخخخخخخخخخخخخوي اسير التشرد

الفديو

- ابو شريك هاي الروابط الي بيحطوها الأعضاء ما بتظهر ترى غير للأعضاء، فيعني اذا ما كنت مسجل و كان بدك اتشوف الرابط (مصرّ ) ففيك اتسجل بإنك تتكى على كلمة سوريا -

رابط تنزبل متصفح اوبرا

- ابو شريك هاي الروابط الي بيحطوها الأعضاء ما بتظهر ترى غير للأعضاء، فيعني اذا ما كنت مسجل و كان بدك اتشوف الرابط (مصرّ ) ففيك اتسجل بإنك تتكى على كلمة سوريا -

نزلوا International 6.3 MB

اوكي سلاااااااااااااااااااااااااااااااااااااااام
ومشكور كتير يا مان على المووووووووووووووضوع

أسير التشرد · 02/09/2006

شكراً كتير على اضافتك للموضوع ... واكيد رح اجرب طريقتك بالاختراق
وكمان شكراً على الشرح بالفيديو...
طريقة Proxomitron متعبة شوي اوقات بتصير واوقات يمكن ما تصير منشان هيك انا قلت انو يمكن الشركة سكرت الثغرة
ع كل حال كتيررر مشكور باشا على الشرح والاضافة
تحياتي لك

qan_blackdeath · 02/09/2006

اقتباس:

كاتب النص الأصلي : أسير التشرد

شكراً كتير على اضافتك للموضوع ... واكيد رح اجرب طريقتك بالاختراق
وكمان شكراً على الشرح بالفيديو...
طريقة Proxomitron متعبة شوي اوقات بتصير واوقات يمكن ما تصير منشان هيك انا قلت انو يمكن الشركة سكرت الثغرة
ع كل حال كتيررر مشكور باشا على الشرح والاضافة
تحياتي لك

هلا بيك يا مان ولو لا شكر على واجب احنا في الخدمة للشباب الطيبة الى مثلك

~YAFA~ · 02/09/2006

شطور قسااام

وشكرا اسير التشرد على الموضوع

qan_blackdeath · 02/09/2006

اقتباس:

كاتب النص الأصلي : شروق القمر

شطور قسااام

وشكرا اسير التشرد على الموضوع

هلا والله نور الموضوع في ردك

بس ان شاء الله قدرتي تنزلي الفيديو

~YAFA~ · 02/09/2006

اه نزلتو

بس طلب DivX وبعدين sofetware لل real player

qan_blackdeath · 02/09/2006

اقتباس:

كاتب النص الأصلي : شروق القمر

اه نزلتو

بس طلب DivX وبعدين sofetware لل real player

طيب ما تخليه غلى راحتوا

نزلي ال DivX
وكملي عاااااااااااااااااااادي وكلوا تمام

سلاااااااااااااااااااام

~YAFA~ · 02/09/2006

اه هلا تمام وشوفتو كمان

فيروزة · 02/09/2006

شكرا أسيرو على المعلومات المهمة
عم فكر اخترق ايميلك
ههههههه

qan_blackdeath · 02/09/2006

اقتباس:

كاتب النص الأصلي : شروق القمر

اه هلا تمام وشوفتو كمان

يلا منيح

أسير التشرد · 02/09/2006

اقتباس:

كاتب النص الأصلي : فيروزة

شكرا أسيرو على المعلومات المهمة
عم فكر اخترق ايميلك
ههههههه

أوكيه وانا موافق على اختراقك ايميلي

أسير التشرد · 02/09/2006

رح اقول اليوم عن طريقة بس شوية هي متعبة منشان تتفادى الاختراق عن طريق هالثغرة اذا وصلتلك ايميل وفيه رابط الاختراق...
طيب اول شي لازم يكون عندك ع الجهاز متصفحين للانترنيت واحد انترنيت اكسبلورر والتاني فايرفوكس او اوبرا ع كل حال لازم يكون عندك متصفحين ع الجهاز...
بس تصلك ايميل الاختراق طبعاً رح يكون مكتوب بالرسالة انو شوف هالموقع ومن هالحكي يعني
لحتى انت تكبس على الرابط ويصير عندو الكوكيز...
انت رح تفتح الرسالة وتقرء الرسالة عن طريق متصفح فايرفوكس بس لا تكبس على الرابط... خود نسخة من الرابط وانسخو على متصفح انترنيت اكسبلورر وافتح الرابط عن طريقو...
طيب ليش هيك عملنا...
لانو اذا فتحنا الرابط من صندوق الرسائل الهوتميل رح يروح لعند الهاكرز ملف الكوكيز... اما اذا فتحنا الرابط عن طريق متصفح تاني ما رح يروح اي شي لعندو...
وتحياتي لكم يا أحبة

فيروزة · 02/09/2006

اقتباس:

كاتب النص الأصلي : أسير التشرد

أوكيه وانا موافق على اختراقك ايميلي

شو قوي عامل احتياطاتك مشان ما حدا يخترق ايميلك

أسير التشرد · 02/09/2006

اقتباس:

كاتب النص الأصلي : فيروزة

شو قوي عامل احتياطاتك مشان ما حدا يخترق ايميلك

فيروزة هلأ عنجد بتعرفي بالاختراق ؟؟
شنو بلشت اخاف منكِ ...