01.04.2013, 22:27
|
|
Постоянный
Регистрация: 26.12.2007
Сообщений: 353
С нами:
9671366
Репутация:
332
|
|
Sniffer forum user... Метод слежки за пользователями форумов.
Приветствую всех, кто решил прочитать эту статью, не взирая на ваши мотивы.
Немного введения.
Статья посвящена примеру модификации веб-снифера, аналогичного сниферу s.netsec.ru, для получения ip пользователей форумов в привязке к их никам. Будет немного поясняющих оговорок, для тех кто возможно не в курсе, т.к. Статья ориентировала на всех, кого она может заинтересовать. Пишу в первый раз, по этому прошу ругать, но исключительно с элементами конструктивной критики.
Немного вводной информации
Многие из вас, знакомы с web-снифером, отличным примером которого является небезизвестный, и некогда работающий s.netsec.ru (у меня не открывается). Коротко расскажу о принципе его действия, для тех кто с ним не знаком. Суть его работы, заключается в следующем:
На вашем сайте создается файл(скрипит php), с расширением любого известного графического файла, (jpg, gif, png, etc....). Web-сервер настраиваем на восприятие этого файла как php и записываем в файл не хитрый код. Файл/скрипт сохраняет данные о пользователе запросившем его (user-agent, ip, browser, referer, x-http-forwarded, query_string) и сохраняет в файл или SQL базу. Затем выдает пользователю картинку. Тем самым пользователь считает, что обратился к бинарному файлу, а не к скрипту.
Такие сниферы , нашли широкое применение для эффективной эксплуатации active-XSS. Скрипту передавались cookie жертвы в параметрах (image.jpg?param_str).
Активный сниффер
Итак перейдем к основной части, она будет короткой.
На многих сайтах, но в первую очередь на форумах(т.к. Реч идет о них), отображаются ники пользователей просматривающих данную тему. За частую, одну и ту же тему, одновременно просматривает не большое количество авторизованных пользователей, примерно от 1 до 5. При обращении к нашему сниферу, необходимо проверить от куда обратился пользователь (REFFERER), проверяем регулярные выражением тот ли форум который нам нужен (можно создать массив с необходимыми форумами), и загружаем текст страницы из referer. Т.к. пользователи выводятся в отдельном блоке, а если таковых нет, то не выводится вообще, ищем в коде страницы блок с пользователями. Если он присутствует, то регулярным выражением получаем массив с их никами, и сохраняем в базу.
Итог
В итоге мы имеем ip адрес того, кто просматривает тему с нашей картинкой, а так же ники пользователей занимающихся тем же. Определить, кому какой ip принадлежит, уже не составляет особого труда, это будет пищей для размышлений.
P.S. Надеюсь статья окажется для кого то полезной, может кто то по новой взглянет на возможности таких сниферов...
С уважением, ваш KIR@PRO.
Special for ANTICHAT.ru
|
|
|
02.04.2013, 22:27
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 0
С нами:
10992741
Репутация:
0
|
|
ТС,а если в браузере стоит плагин NoScript или любой другой,блокирующий скрипты,то получается,что ip тогда по сему методу не вычислить? Для эксперимента - последние разы заходил с плагином,хотя и без него заходил сегодня (палево страшное )))
Сообщение от None
Чет, статья, вообще короткая получилась...
Краткость - сестра таланта.Отсутствие "воды" - только суть. |
|
|
|
03.04.2013, 08:12
|
|
Постоянный
Регистрация: 26.12.2007
Сообщений: 353
С нами:
9671366
Репутация:
332
|
|
2Alex24
Судя по названию, плагин NoScript, блокирует абсолютно все скрипты на странице, а тут принцип действия в размещении картинки. Моя цель не заполучить ваши Cookie (для этого XSS в форуме искать надо) а получить ваши IP, адрес страницы, при просмотре которой вы загрузили картинку(ну не вы а браузер естественно ), и получить ники зарегистрированных людей с этого форума, просматривающих ту же страницу(путем загрузки страницы форума).
как я понял у тебя картинки отключены... В сообщении со статьей, в самом низу картинка прикреплена, ты её видишь?
|
|
|
|
03.04.2013, 22:31
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 0
С нами:
10992741
Репутация:
0
|
|
Сообщение от KIR@PRO
2
Alex24
как я понял у тебя картинки отключены... В сообщении со статьей, в самом низу картинка прикреплена, ты её видишь?
Картинку вижу как с NoScript, так и без него.
Картинка идет с адреса: http://rnsd.ru/s.gif
|
|
|
|
04.04.2013, 23:46
|
|
Постоянный
Регистрация: 26.12.2007
Сообщений: 353
С нами:
9671366
Репутация:
332
|
|
Ой, забыл про часовые пояса... Время на ачате и на моем сервере... Завтра посмотрю отпишусь
|
|
|
|
05.04.2013, 16:42
|
|
Постоянный
Регистрация: 26.12.2007
Сообщений: 353
С нами:
9671366
Репутация:
332
|
|
Alex24 Я уверен, что вчера ты писал вот с этого ip: 78.1**.*7*.*4
Вся беда в том, что про пояса часовые забывать не стоит)))
P.S. Если надо будет убрать ip из сообщения, то только напиши.
|
|
|
|
05.04.2013, 23:40
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 0
С нами:
10992741
Репутация:
0
|
|
Сообщение от KIR@PRO
Alex24
Я уверен, что вчера ты писал вот с этого ip:
78.1**.*7*.*4
Вся беда в том, что про пояса часовые забывать не стоит)))
P.S. Если надо будет убрать ip из сообщения, то только напиши.
Ну что я могу сказать.....красавчеГ!
|
|
|
|
06.04.2013, 22:24
|
|
Постоянный
Регистрация: 26.12.2007
Сообщений: 353
С нами:
9671366
Репутация:
332
|
|
Сообщение от altblitz
объясните мне, пожалуйста, в чём собственно новизна профита от этого гешефта со всуванием в .пхп?
реально, XSS не сделать.
даже до аккаунта админа форума не эскалировать полномочий себе.
это всё найдено и сделано в те далёкие времена,
когда трава была зелёная, ВК не существовало, равно как и гей-фонов.
http://img24.imageshack.us/img24/6649/2013040602.png
PS. а те, кто жалуется на
Suicide
- откройте свой форум мульт-ботов.
не сметь путаться тут больше под ногами. Уважаемый, вы под чем??? Вы про что??? Ты название темы перечитай, и содержимое первого поста на пару раз. Кто про суя чё плохого сказал? Я, знаю её и не приветсвую оскорбления в сторону постоянных участников форума! Но твое высокомерное, бессмысленное сообщение, вогнало меня в состояние дикого возмущения!
В тему: "плохому танцору, ноги мешают";[/QUOTE]
|
|
|
|
08.04.2013, 08:57
|
|
Новичок
Регистрация: 21.06.2005
Сообщений: 0
С нами:
10992741
Репутация:
0
|
|
altblitz По-моему, ты слегка ушел в лес.
Сообщение от None
Именно таким образом СУЙ вылавливает мультов!
Жалоба? По-моему это просто утвердительное предложение.
Сообщение от None
реально, XSS не сделать.
А зачем? Тема с названием "Сниффер", никто не писал тут про уязвимость, взлом и лифт прав.
Сообщение от None
когда трава была зелёная, ВК не существовало, равно как и гей-фонов.
Все новое, хорошо забытое старое. Цель поста- информация для размышления, никак не "взломать, поискать хсс и тп" Я Склоняюсь к тому, что у Вас ЧСВ немного превысило, откуда и получился Ваш пост с негодованием.
PS Про "старые времена". Где же та толерантность к сообществу весьма квалифицированных ИТ-специалистов? Как ни крути, мы преследуем, в общем понятии, одну и ту же цель... (это так, подумать на досуге)
|
|
|
|
08.04.2013, 14:05
|
|
Постоянный
Регистрация: 05.06.2009
Сообщений: 706
С нами:
8912858
Репутация:
759
|
|
Как тебя найти мне, мой доброжелатель
Истины искатель, вечный правдолюб
Ты живешь на свете, бьясь за добродетель
Тих и незаметен, бдителен и лют
Из меня, ты смог извлечь уроки
От беды - соседей спас
Чтобы вскрыть мои пороки
Нужен очень зоркий глаз
Мозаика - Доброжелатель
На арене цирка - Олимпийская команда РФ по клоунаде и синхронному плаванию по кляузам!
Они выступают синхронно, спят на одной кроватке и носят плавки - одна штука на двоих.
PS.
набирая эту мессагу, нашёл одну интересную ошибку на популярном сайте.
пойду сделаю замечание. конструктивное и по дело. |
|
|
|
|
 |
|
Предыдущая тема
Следующая тема
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
