- - H@CKOFF No5 - * - By Tobozo - - <---------------------------- . . . this size . . . -------------------------------> ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø _/ _/ _/_/ _/_/_/ _/ _/ _/_/ _/_/_/_/ _/_/_/_/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/_/_/_/ _/_/_/_/ _/ _/_/ _/ _/ _/_/_/ _/_/_/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/ _/_/_/ _/ _/ _/_/ _/ _/ ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø ******************************************************************* | Salut et bienvenue dans ce hackoff No5 consacre au Html, | | Javascript, Vbscript, CGI, Perl et toutes les applications | | qu'on peut en faire pour hacker des pages web. Il ne s'agit pas | | d'une incitation a la debauche (popularite oblige) mais plutot | | un avertissement a tous les jeunes webmasters debutants : | | faites gaffe a votre matricule si vous tenez a preserver le | | cote pacifique de votre vie sur le web. | ******************************************************************* ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø Le web faut s'en mefier (ne surfez plus!) car certaines pages sont traitres quand on y passe avec le mauvais browser (comme explodeur par exemple heheh). Tout d'abord il faut prendre en consideration le fait que lors d'une connexion il est possible d'avoir acces a des infos vous concernant comme : nom, prenom, nom de l'ordinateur, version du systeme, version du navigateur, derniere page visitee, programmes installes, mots de passe (cryptes), heure locale, adresse ip, etc, etc... La seule limite a l'acces se situe au niveau d'une simple boite de dialogue et au pouvoir decisif du visitant. Un petit coup d'oeil au hackoff No3 (social engeneering), un peu d'imagination et de talent en programmation web suffisent a n'importe quel webmaster mal intentionne pour obtenir ces infos. Apres avoir lu ce Hackoff, plus jamais vous ne cliquerez sur OK en voyant une boite de dialogue apparaitre dans votre browser, plus jamais vous n'utiliserez un formulaire de type submit, plus jamais vous n'irez visiter les sites de krosoft. ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø -Le javascript -Les controles Activex -Les Vbscripts -Le CGI ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø -Javascript :Capture de l'email a partir d'une page web Boaf y en a qu'y disent qu'avec le html on peut juste avoir des visiteurs. Oui et non. Tout depend des visiteurs hehehe. Prenons l'exemple d'un site warez qui n'est visite que par des lamers. Si on s'en tient aux statistiques de 1998, plus de 47% des internautes possedent internet exploiteur4 contre 27% avec netscrabe4 et le reste pour les autres versions. Ca fait deja 47% de pigeons potentiels. Si on se limite au HTML alors y a pas grand chose de possible. On pourra au mieux se procurer l'adresse email du visiteur et quelques infos si celui ci veut bien cliquer sur le bouton submit. Mais heureusement il y a java et javascript, qui deviennent nos allies inconditionnels grace a cette stupide guerre entre krosoft et getscape. Un petit code javascript judicieusement place peut envoyer a une adresse de votre choix l'email de tous les visitants qui auront la malencontreuse habitude de cliquer ok sur toutes les dialbox. Voici un exemple de code :
Merci pour les renseignements :-) Ce code cree un message email sur le client mail par defaut associe au browser de facon automatique en y incluant la date de l'envoi et l'adresse email, mais en cherchant un peu on peut y inclure l'adresse ip, l'adresse de la derniere page visitee, le contenu d'un cookie, la version du navigateur, bref, tout ce que javascript nous permet de savoir. Place sur la page d'entree d'un site warez qui se tape 200 visites par jour, et considerant que 5% des clients mail sont parametres en automatique, en une semaine on se cree une mailing liste de 70 personnes a spammer, et hop! Cette methode est tres pratique si vous ne disposez pas d'un acces libre CGI sur votre site. ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø -Les activex : viol et destruction Il s'agit de modules executables qui peuvent automatiquement etre telecharges et lances a partir de votre browser. Ils reagissent a des codes d'authentification appeles "authenticodes". Ces codes font appel a plusieurs regles concernant le vendeur, la date de creation et la date d'expiration (verisign). Actuellement les authenticodes (X509) autorisent la signature des programmes codes pour les extensions suivantes : .exe .cab .ocx .dll Prenons l'exemple d'un programme de taupe telechargeable depuis une page web. Il faudra proceder par plusieurs etapes pour que les operations de signature et de verification s'effectuent avec succes. Il faudra pour ca : MakeCert, qui cree un test de certificat X.509 Cert2SPC, qui cree un test SPC SignCode, qui utilise le SPC pour signer un fichier ChkTrust, qui verifie la validite du fichier DumpCert, qui valide le certificat SetReg, qui modifie la cle qui controle l'authentification dans la base de registre Et qui portent respectivement les noms : Makecert.exe Cert2SPC.exe ChkTrust.exe DumpCert.exe SetReg.exe Signer.dll (execute la signature) Le Chaos Computer Club (groupe de hackers allemand) avait deja fait une demonstration des multiples possibilites de cette technique en nous servant son activex qui effacait explorer.exe du disque dur. Pour eviter de vous faire pieger par ce genre de truc, vous pouvez modifier les elements suivants (qui sont necessaire au processus d'install d'un activex) : Wintrust.dll Softpub.dll Mssip32.dll Vsrevoke.dll Crypt32.dll Vous pouvez aussi les renommer ou les effacer mais la je ne garantis rien quant au bon fonctionnement du systeme apres ca (z'avez qu'a utiliser netscrabe). La meilleure methode si vous tenez vraiment a votre explodeur c'est de mettre le niveau de securite au maximum dans les parametres internet (sauf s'il est deja trop tard). Bref, avec des controles activex on peut se permettre de charger une taupe sur n'importe quelle machine (backorifice par exemple) et ainsi recevoir par mail (anonyme evidemment) tous les mots de passe et infos confidentielles qui sont contenues sur l'ordi du visiteur. La seule limite est celle de l'imagination. ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø -Les vbscript Tres pratique le vbscript, il nous permet de programmer des boites de dialogues, des menus deroulants etc... Mais mieux encore, il a acces a toutes les fonctions OLE et activeX de windows au travers du browser. Un tres bon allie pour les activex et le javascript car il permet de justifier la presence de ces derniers dans le code html (pour les paranos). Certaint bugs de IE permettent (sur la version 4.0) de masquer une dialbox avec une autre dialbox (d'apparence plus innocente) : set wcover = window.open ("bienvenue.htm", "salut . . ." ) wcover.close Et le tour est joue...entre les deux tout est possible, chargement d'une taupe, envoi de courrier etc etc. Le plus important est que le visitant clique sur "OK". ¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø¤º°`°º¤ø,¸¸,ø -Le CGI : un peu de social engeneering A l'aide d'un formulaire d'anonymailer CGI bien maquille, il est tres possible de pomper les mots de passe des webmasters imprudents. Prenons l'exemple de la section webring d'un site quelconque. On y trouve un formulaire qui permet de s'ajouter au webring. Supposons un instant que le formulaire soit bidon et que les infos sont envoyees sur un email au lieu d'etre soumises a un script CGI : si par malheur la personne qui veut s'y inscrire a la mauvaise habitude de prendre le meme mot de passe pour tous ses comptes, il est mal barre car il va envoyer du meme coup l'adresse de son site web et les droits d'acces avec. Il faut evidemment avoir un compte chez http://www.coder.com/ (c'est gratuit). Voici un exemple de piege a mot de passe :