Автор Тема: Persistent XSS [Google.com]  (Прочетена 5330 пъти)

0 Потребители и 1 Гост преглежда(т) тази тема.

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Persistent XSS [Google.com]
« -: 12 Ноември 2012, 22:48:14 »
Тъй като секцията предлага шанса да се похвалим с нещичко, аз реших това да е най-новото ми постижение, а именно дупката която наскоро открих в гугъл.

Линк: http://www.google.com/ig/directory?url=hosting.gmodules.com/ig/gadgets/file/116774377668678157889/Keeper.xml

На кратко дупката е тип XSS (cross-site scripting) която ми позволява да екзекютна всякакъв джаваскрипт код в страницата. Дупката би могла да се използва като key-logger или фишинг страница за крадене на информация от потребителите на гугъл. Вече я докладвах на екипа им и скоро очаквам майла им.

Ако някои иска мога и да обясня стъпките с които открих дупката.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

jazzman

  • Hero Member
  • *****
  • Благодарности
  • -Казани: 25
  • -Получени: 190
  • Публикации: 3623
Re: Persistent XSS [Google.com]
« Отговор #1 -: 12 Ноември 2012, 23:14:28 »
Абе я опиши как ги правиш тези магарии, че ми стана интересно  ;D
Някакъв специален tools ползваш ли ?
Java is to Javascript as fun is to funeral.

http://nau4i.me/forum/index.php/topic,15129.0.html

HanKrum

  • Hero Member
  • *****
  • Благодарности
  • -Казани: 120
  • -Получени: 73
  • Публикации: 991
  • Кибик
Re: Persistent XSS [Google.com]
« Отговор #2 -: 13 Ноември 2012, 01:00:37 »
Браво, Етикъл Хакер ;)
"Силата на правителството се крепи на невежеството на народа, и те знаят това и винаги ще се борят против просвещението." Лев Толстой

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #3 -: 13 Ноември 2012, 21:01:12 »
1 година членствах из ъндърграунд форумите. Най-вече (hackforums.net, ubers.org, hackthissite.org, hackthis.co.uk и т.н.). От там се учих и естествено практиката е най-добрият метод. Имам някъде 14 руутнати линукс сървъри които ползвам към моя ботнет за ддос атаки. Но по отношение на дупките съм откривал в доста известни сайтове, но там няма награди за докладване на дупки.

Даже си и бях стропал малък сайт за постиженията и услугите ми --> http://keeperax.netai.net/achievements.html
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

jazzman

  • Hero Member
  • *****
  • Благодарности
  • -Казани: 25
  • -Получени: 190
  • Публикации: 3623
Re: Persistent XSS [Google.com]
« Отговор #4 -: 13 Ноември 2012, 21:54:51 »
Значи ти си бил кът "Дарт Вейдър" .
Добре ще е админите да отворят още една секция, за потребителите от тъмната страна на силата   ::)
Java is to Javascript as fun is to funeral.

http://nau4i.me/forum/index.php/topic,15129.0.html

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #5 -: 13 Ноември 2012, 22:11:37 »
Значи ти си бил кът "Дарт Вейдър" .
Добре ще е админите да отворят още една секция, за потребителите от тъмната страна на силата   ::)

Е сега.. Целта на нау4и.ме е да се споделят знания, не да се хакерства (поне аз така я разбирам идеята за сайта). А конкретно за тази дупка в гугъл не съм ползвал никакви туулс освен Google Gadget Editor през който написах скрипта и впоследствие успях да екзекютна в официалния домейн на гугъл. Вече съм направил и фишинг страница за крадене на акаунти, с цел да опровергая екипа на гугъл, че дупката може да бъде опасна. Скоро даже очаквам статия за дупката ми в 2 сайта.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

HD

  • Administrator
  • Hero Member
  • *****
  • Благодарности
  • -Казани: 208
  • -Получени: 165
  • Публикации: 3077
Re: Persistent XSS [Google.com]
« Отговор #6 -: 13 Ноември 2012, 22:19:44 »
@Keeper  Не знам дали си глупав или само се хвалиш, но принципно тия неща не се казват, защото си е нарушение на закона. Гледай да не ти дойдат да ти направят един бал с маски. Иначе браво, че искаш да се учиш и си постигнал някакъв резултат.

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #7 -: 13 Ноември 2012, 22:27:49 »
@Keeper  Не знам дали си глупав или само се хвалиш, но принципно тия неща не се казват, защото си е нарушение на закона. Гледай да не ти дойдат да ти направят един бал с маски. Иначе браво, че искаш да се учиш и си постигнал някакъв резултат.

Не виждам с какво съм нарушил закона. Дори при публично оповестяване на дупка в сигурността на сайт като гугъл няма причина да бъда съден (примерно). Дупката е докладвана на гугъл и те дори си имат програма за награждаване. Но да, хваля се на доста места с това и дори да си прав минавам през nVPN без логове, 2 проксита и Tor. Освен да наемат екип които специално да ме издири няма да се занимават с мен. Но това е друга тема.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

HD

  • Administrator
  • Hero Member
  • *****
  • Благодарности
  • -Казани: 208
  • -Получени: 165
  • Публикации: 3077
Re: Persistent XSS [Google.com]
« Отговор #8 -: 13 Ноември 2012, 23:29:43 »
Не говорех за това, а а другите неща с който се хвалиш. Иначе мисля, че даже Google плащат ако намериш някаква грешка..

!ntel

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 2
  • -Получени: 4
  • Публикации: 55
Re: Persistent XSS [Google.com]
« Отговор #9 -: 14 Ноември 2012, 02:30:57 »
Параноята е голямо нещо ей...
Голям хакер, няма що...
Минава през проксита, vpn и още какво ли не, ама не му идва на ума, че като голям хахор, просто е достатъчно да хакне съседна wifi мрежа с безжична карта и антена за 50 лв. Нужно е само да си смени MAC адреса на картата, за да не го проследят по него (ако изобщо на някой му дойде на акъла да го издирва :D ).
Какъв хахор трябва да си, ако не може да си улесниш живота поне малко...

raio

  • Newbie
  • *
  • Благодарности
  • -Казани: 2
  • -Получени: 2
  • Публикации: 40
Re: Persistent XSS [Google.com]
« Отговор #10 -: 14 Ноември 2012, 09:35:29 »
Предишния ти опит който ми показа беше по-добър :)
Ето нещо и от един където не знае да пише на бг .... :D
TROLL
OWNED!!! : 128.104.200.210 1
OWNED!!! : 128.104.200.68 1
OWNED!!! : 128.39.203.16 1234
OWNED!!! : 128.39.203.7 1234
OWNED!!! : 128.59.138.129 1234
OWNED!!! : 128.59.24.208 security
OWNED!!! : 128.59.24.207 security
OWNED!!! : 128.83.52.232 1
OWNED!!! : 128.91.74.75 test
OWNED!!! : 128.104.200.210 1
OWNED!!! : 128.104.200.68 1
OWNED!!! : 128.134.133.220 1
OWNED!!! : 128.134.133.90 1
OWNED!!! : 128.151.238.206 admin
OWNED!!! : 128.164.32.211 test
OWNED!!! : 128.164.33.67 test
OWNED!!! : 128.164.86.29 test
OWNED!!! : 128.172.150.147 password
OWNED!!! : 128.173.38.196 1
OWNED!!! : 128.193.24.203 password
OWNED!!! : 128.46.113.141 12345
OWNED!!! : 128.197.58.171 1
OWNED!!! : 87.0.10.178 test
OWNED!!! : 87.1.164.1 1
OWNED!!! : 87.0.79.227 system
OWNED!!! : 87.0.12.185 a
OWNED!!! : 87.5.91.210 1
OWNED!!! : 87.240.239.250 1
OWNED!!! : 87.241.31.181 1
OWNED!!! : 87.242.47.59 1234
OWNED!!! : 87.242.2.169 1
OWNED!!! : 87.245.40.247 support
OWNED!!! : 87.246.143.250 123
OWNED!!! : 87.247.252.246 1
OWNED!!! : 87.248.227.59 1234
OWNED!!! : 87.248.79.157 1234
OWNED!!! : 87.245.28.153 support
OWNED!!! : 87.246.143.250 123
OWNED!!! : 87.248.227.59 1234
OWNED!!! : 87.248.79.157 1234
OWNED!!! : 87.249.128.142 12345
OWNED!!! : 87.251.120.2 123456
OWNED!!! : 87.251.126.2 12345
OWNED!!! : 87.251.122.100 12
OWNED!!! : 87.251.119.151 123456789
OWNED!!! : 87.251.222.207 1
OWNED!!! : 87.251.120.177 admin
OWNED!!! : 87.251.124.12 teacher
OWNED!!! : 87.255.70.187 12345678
« Последна редакция: 14 Ноември 2012, 09:40:48 от raio »
Без да опиташ, няма как да разбереш ;)

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #11 -: 14 Ноември 2012, 14:52:24 »
Параноята е голямо нещо ей...
Голям хакер, няма що...
Минава през проксита, vpn и още какво ли не, ама не му идва на ума, че като голям хахор, просто е достатъчно да хакне съседна wifi мрежа с безжична карта и антена за 50 лв. Нужно е само да си смени MAC адреса на картата, за да не го проследят по него (ако изобщо на някой му дойде на акъла да го издирва :D ).
Какъв хахор трябва да си, ако не може да си улесниш живота поне малко...

И да сменя MAC адреса, ще проследят ип-то на модема към който съм вързан и след като разберат, че не е той истинския източник на атаката веднага ще си пуснат една проверка на всичко свързано към него (на място). Доста уроци съм гледал за прикриване и повярвай ми най-добрият метод е чрез nVPN без логове защото гдбоп и най-вече FBI изкупуват логовете на всички известни VPN услуги.

Предишния ти опит който ми показа беше по-добър :)
Ето нещо и от един където не знае да пише на бг .... :D
TROLL
OWNED!!! : 128.104.200.210 1
OWNED!!! : 128.104.200.68 1
OWNED!!! : 128.39.203.16 1234
OWNED!!! : 128.39.203.7 1234
OWNED!!! : 128.59.138.129 1234
OWNED!!! : 128.59.24.208 security
OWNED!!! : 128.59.24.207 security
OWNED!!! : 128.83.52.232 1
OWNED!!! : 128.91.74.75 test
OWNED!!! : 128.104.200.210 1
OWNED!!! : 128.104.200.68 1
OWNED!!! : 128.134.133.220 1
OWNED!!! : 128.134.133.90 1
OWNED!!! : 128.151.238.206 admin
OWNED!!! : 128.164.32.211 test
OWNED!!! : 128.164.33.67 test
OWNED!!! : 128.164.86.29 test
OWNED!!! : 128.172.150.147 password
OWNED!!! : 128.173.38.196 1
OWNED!!! : 128.193.24.203 password
OWNED!!! : 128.46.113.141 12345
OWNED!!! : 128.197.58.171 1
OWNED!!! : 87.0.10.178 test
OWNED!!! : 87.1.164.1 1
OWNED!!! : 87.0.79.227 system
OWNED!!! : 87.0.12.185 a
OWNED!!! : 87.5.91.210 1
OWNED!!! : 87.240.239.250 1
OWNED!!! : 87.241.31.181 1
OWNED!!! : 87.242.47.59 1234
OWNED!!! : 87.242.2.169 1
OWNED!!! : 87.245.40.247 support
OWNED!!! : 87.246.143.250 123
OWNED!!! : 87.247.252.246 1
OWNED!!! : 87.248.227.59 1234
OWNED!!! : 87.248.79.157 1234
OWNED!!! : 87.245.28.153 support
OWNED!!! : 87.246.143.250 123
OWNED!!! : 87.248.227.59 1234
OWNED!!! : 87.248.79.157 1234
OWNED!!! : 87.249.128.142 12345
OWNED!!! : 87.251.120.2 123456
OWNED!!! : 87.251.126.2 12345
OWNED!!! : 87.251.122.100 12
OWNED!!! : 87.251.119.151 123456789
OWNED!!! : 87.251.222.207 1
OWNED!!! : 87.251.120.177 admin
OWNED!!! : 87.251.124.12 teacher
OWNED!!! : 87.255.70.187 12345678

Райчо, не разбрах какво искаше да кажеш.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816

HanKrum

  • Hero Member
  • *****
  • Благодарности
  • -Казани: 120
  • -Получени: 73
  • Публикации: 991
  • Кибик
Re: Persistent XSS [Google.com]
« Отговор #12 -: 14 Ноември 2012, 14:53:56 »
Предишния ти опит който ми показа беше по-добър :)
Ето нещо и от един където не знае да пише на бг .... :D
TROLL
OWNED!!! : 128.104.200.210 1
OWNED!!! : 128.104.200.68 1
OWNED!!! : 128.39.203.16 1234
OWNED!!! : 128.39.203.7 1234
OWNED!!! : 128.59.138.129 1234
OWNED!!! : 128.59.24.208 security
OWNED!!! : 128.59.24.207 security
OWNED!!! : 128.83.52.232 1
OWNED!!! : 128.91.74.75 test
OWNED!!! : 128.104.200.210 1
OWNED!!! : 128.104.200.68 1
OWNED!!! : 128.134.133.220 1
OWNED!!! : 128.134.133.90 1
OWNED!!! : 128.151.238.206 admin
OWNED!!! : 128.164.32.211 test
OWNED!!! : 128.164.33.67 test
OWNED!!! : 128.164.86.29 test
OWNED!!! : 128.172.150.147 password
OWNED!!! : 128.173.38.196 1
OWNED!!! : 128.193.24.203 password
OWNED!!! : 128.46.113.141 12345
OWNED!!! : 128.197.58.171 1
OWNED!!! : 87.0.10.178 test
OWNED!!! : 87.1.164.1 1
OWNED!!! : 87.0.79.227 system
OWNED!!! : 87.0.12.185 a
OWNED!!! : 87.5.91.210 1
OWNED!!! : 87.240.239.250 1
OWNED!!! : 87.241.31.181 1
OWNED!!! : 87.242.47.59 1234
OWNED!!! : 87.242.2.169 1
OWNED!!! : 87.245.40.247 support
OWNED!!! : 87.246.143.250 123
OWNED!!! : 87.247.252.246 1
OWNED!!! : 87.248.227.59 1234
OWNED!!! : 87.248.79.157 1234
OWNED!!! : 87.245.28.153 support
OWNED!!! : 87.246.143.250 123
OWNED!!! : 87.248.227.59 1234
OWNED!!! : 87.248.79.157 1234
OWNED!!! : 87.249.128.142 12345
OWNED!!! : 87.251.120.2 123456
OWNED!!! : 87.251.126.2 12345
OWNED!!! : 87.251.122.100 12
OWNED!!! : 87.251.119.151 123456789
OWNED!!! : 87.251.222.207 1
OWNED!!! : 87.251.120.177 admin
OWNED!!! : 87.251.124.12 teacher
OWNED!!! : 87.255.70.187 12345678
Ами хвали се и той бе  :P
"Силата на правителството се крепи на невежеството на народа, и те знаят това и винаги ще се борят против просвещението." Лев Толстой

raio

  • Newbie
  • *
  • Благодарности
  • -Казани: 2
  • -Получени: 2
  • Публикации: 40
Re: Persistent XSS [Google.com]
« Отговор #13 -: 14 Ноември 2012, 15:25:44 »
Мда Хана е прав :D ... Предишния xss беше по-як който ми показа тоя нещо ...Здух е :D ... Хане ама аз не разбирам от тези неща ...Просто първото което написах в search ми излезе ;) И просто си копирах инфо от google :P ;)
« Последна редакция: 14 Ноември 2012, 15:27:39 от raio »
Без да опиташ, няма как да разбереш ;)

Keeper_old

  • Jr. Member
  • **
  • Благодарности
  • -Казани: 7
  • -Получени: 5
  • Публикации: 72
Re: Persistent XSS [Google.com]
« Отговор #14 -: 14 Ноември 2012, 19:23:11 »
Предималко намерих и статия за мен в един от най-големите портали за новини за хакери.

http://thehackernews.com/2012/11/exploiting-google-persistent-xss.html

След като си кодирах фишинг страницата привлякох вниманието на "медийте". Сега даже ще започна да крада гугъл акаунти докато не повярват, че всъщност дупката е експлоитабъл и опасна.
Безплатно кракване на хаширащи и криптографски алгоритми --> http://www.hackforums.net/showthread.php?tid=2615816