Forum
Aktif konular
Üyeler
Kurallar
Arama
Tahribat.com Forumları 
Hertürlü Web tabanlı Saldırı Taktik ve Stratejileri 
Klasik Hack Taktiği - Nasıl Yapılıyor Klasik Hack Taktiği - Nasıl Yapılıyor
-
Hocam pc de kayıtlı şifrelerden basit olarak firefoxu bi konumda incelemiştim mesela sen bir siteye girerken sana şifreni kaydedeyimmi diye soru soruyor al onun yaratacağı sorun
Firefox'u inceledim.İncelediğim kısımlar genelde kayıtlar ne şekilde nasıl tutuluyor ve ne şekilde erişiliyor tarzındaydı.Firefox her ne kadar bof güvenliklerini alsada kullanıcı bilgilerine direk olarak erişme imkanı veriyor.İnceliyelim
XP içinC:\Documents and Settings\[kullaniciniz]\Application Data\Mozilla\Firefox
Win7 için
C:\Users\[kullaniciniz]\AppData\Roaming\Mozilla\Firefox
klasöründe profiles.ini dosyası bulunduruyor.Bu dosyada kullanıcının bilgilerini tutan profilin bilgilerini barındırıyor.Yani
Path=Profiles/qfef5dtw.default
şeklinde klasörüde gösteriyor.Klasörde
content-prefs.sqlite
cookies.sqlite
downloads.sqlite
formhistory.sqlite
permissions.sqlite
places.sqlite
search.sqlite
signons.sqlite
webappsstore.sqlite
şeklinde kullanıcının tüm bilgilerini sqlite veritabanında tutuyor.Tutulan kayıtlarda bir tek girdigimiz siteler ve şifreleri şifrelidir geri kalan tüm veriler şifresiz kabak gibi ortada.Üstelik şifreli olan form bilgileride basit bir şekilde çözülebilmektedir.Nasıl çözüleceğini anlatmayacam.
Kullanıcı bilgilerine direk erişim sağlayabilmesi art niyetli insanların işine çok yarayabilir.Örnek olarak Basit bir Java Applet ile sahip olunan firefox profili çalınabilir ve rahatlıkla bilgileri okunabilir.Onun yanında Profil klasörü ziplenip otomatik olarak çalınabilir.Böylelikle kullanıcının sahip oldugu tüm sessionlara sahip olunabilir.
Ben Pythonda basit çaplı bir kod yazdım. Kod firefox dizinini kendisi bulup profiles.ini dosyasında profil klasör adını alıyor ve belirtilen sqlite dosyasına bağlanıp istedigimiz sorguyu çalıştırıp ekrana yazıyor.import ConfigParser
from pysqlite2 import dbapi2
import os
ffdizin = os.environ['AppData'] + '\Mozilla\Firefox'
inibul='%s%s' % (ffdizin, '\profiles.ini')
profilbilgisi = ConfigParser.ConfigParser()
profilbilgisi.read(inibul)
profildizin = profilbilgisi.get('Profile0','Path')
dbfile = '%s\%s\%s' % (ffdizin, profildizin,'\downloads.sqlite')
baglan=dbapi2.connect(dbfile)
cursor=baglan.cursor()
cursor.execute('SELECT * From moz_downloads')
for kayitlar in cursor.fetchall():
print kayitlar
baglan.close()
Çalışması için pysqlite2 kurulu olmalıdır. Aynı zamanda python26 da çalışmaktadır.
Cookieleri almak için
SELECT host, name,path, value From moz_cookies
Form geçmişini almak için
SELECT fieldname,value From moz_formhistory
Bir diğer önemli bilgi ise eklenti kurumuna izin verilecek hostların listesi.Bu bilgide permissions.sqlite dosyasında yer almaktadır.
SELECT id,host,type,permission From moz_hosts
type colomn unun tipi text oldugu için kurulum için olan izinlere type="install" yapmak yeterli oluyor.Aynı zamanda type='popup' ve permission=1 olunca istedigimiz popupa full izin verebiliyoruz
Unutmayınki bu bilgileri okuyabildigimiz gibi aynı zamanda değiştirip yeni eklemelerde yapabiliriz.Ne yazıkki firefox kullanıcı bilgilerini gizlemede başarılı değildir.Hatta 2,3 ay önce
chrome :\\ tagıyla bile kullanıcının sahip oldugu eklentiler öğrenilebiliyordu. vsTabi free bir hosta bunu yapan java applet aktarılırsa bunu java appletı çekip db ye kaydedebilir.
Diğer türlü ise tarayıcılarda meydanna gelen buffer overflow açıklarıyla pc ye exe indirterek kayıtlı passwordlar çekilebilirler.
-
Bu işi yapanlar çluk cocuk değil kodlamadan anlayanlar diyorsun yanı bu yazdklarını sımdı pek anlamadım ama bi kaç sene sonra anlycgma emınım saolasın hocam arsıvlıycm bu yazdklarını
-
hocam öncelikle direk siteye girdiğinde hiçbir yere tıklamadan virüs bulaşma olayı malesef var :) java ile falanda değil.
bilgisayarımda java yüklü değil ve google'dan bir anime resmi arıyorum, buluyorum.Sonra ne oluyor? google görsellerden başka bir çin sitesine yönleniyor ve herşey bir anda oluyor sanırım flash tarzı birşeydi.
Direk şüpheleniyorum ve Görev Yöneticisine bakıyorum 5 saniye içinde .exe bilgisayarıma bulaşıyor, tabi direk res çakıyorum deepfreeze olmasa işimiz yaş.
Yani bu işi sorgusuz sualsiz yapabilen insanlar var malesef.
eğer Java Downloader falan arıyorsan pcdoktor636 ile iletişime geç.
-
CodeInside bunu yazdı:
-----------------------------
hocam öncelikle direk siteye girdiğinde hiçbir yere tıklamadan virüs bulaşma olayı malesef var :) java ile falanda değil.
bilgisayarımda java yüklü değil ve google'dan bir anime resmi arıyorum, buluyorum.Sonra ne oluyor? google görsellerden başka bir çin sitesine yönleniyor ve herşey bir anda oluyor sanırım flash tarzı birşeydi.
Direk şüpheleniyorum ve Görev Yöneticisine bakıyorum 5 saniye içinde .exe bilgisayarıma bulaşıyor, tabi direk res çakıyorum deepfreeze olmasa işimiz yaş.
Yani bu işi sorgusuz sualsiz yapabilen insanlar var malesef.
eğer Java Downloader falan arıyorsan pcdoktor636 ile iletişime geç.
-----------------------------O dediğin meseleyi tarayıcılarda meydana gelen güvenlik açıkları (buffer overflow,stack overflow,heap overflow vs vs )
ile yapabiliyorlar hocam . Tabi başka yöntemlerde olabiliyorda keşke dediğin gibi herşey javadan ibaret olsa disable et bişeye yaramaz
gerçi moziila bu tür script önlemleri için noscript eklentisini çıkardı
-
Twitter bunu yazdı:
-----------------------------
CodeInside bunu yazdı:
-----------------------------
hocam öncelikle direk siteye girdiğinde hiçbir yere tıklamadan virüs bulaşma olayı malesef var :) java ile falanda değil.
bilgisayarımda java yüklü değil ve google'dan bir anime resmi arıyorum, buluyorum.Sonra ne oluyor? google görsellerden başka bir çin sitesine yönleniyor ve herşey bir anda oluyor sanırım flash tarzı birşeydi.
Direk şüpheleniyorum ve Görev Yöneticisine bakıyorum 5 saniye içinde .exe bilgisayarıma bulaşıyor, tabi direk res çakıyorum deepfreeze olmasa işimiz yaş.
Yani bu işi sorgusuz sualsiz yapabilen insanlar var malesef.
eğer Java Downloader falan arıyorsan pcdoktor636 ile iletişime geç.
-----------------------------O dediğin meseleyi tarayıcılarda meydana gelen güvenlik açıkları (buffer overflow,stack overflow,heap overflow vs vs )
ile yapabiliyorlar hocam . Tabi başka yöntemlerde olabiliyorda keşke dediğin gibi herşey javadan ibaret olsa disable et bişeye yaramaz
gerçi moziila bu tür script önlemleri için noscript eklentisini çıkardı
-----------------------------hocam mozilla firefox son sürümde oluyor bütün bunlar yani kısaca adobe flash player bulunan bir bilgisayar ile mozilla kullanarak siteye girmen yetiyor, direk botnet ağına dahil oluyorsun imkansız değil şahit oldum site adresinide not almıştım ama bulamıyorum.
-
Mozilla sadece public olan açıkları yamalıyor
Milletin bulduğu priv8 yöntemler ile çok canlar yanıyor .
Haklısın hocam .
-
Estlogger mıydı neydi böyle bir ekse vardı dediğin işlemleri yapan
-
evet sorgusuz downloaderlar var ama şuan bedavaya bulman mümkün değil. türkiyedede satan adam sayısı az biçoğuda dolandırıcı zaten. öyle 500 milyona 2-3 milyara bulabileceğin şeyler değil yani :) ama java downloaderlara gelirsek sen daha önceden bi java dosyasında always run seçeneğine tıkladıysan netteyken herzaman çalıştırcağından sorgusuz sualsiz yemiş olabilirsin exeyi. format atmadıysan ve exe keyloggersa adamın mailini ve şifresini bulabiliriz. trojansa ip'sini bulabiliriz. stealersa yapabileceğimiz pek bişey yok sadece logların yollandığı adresi bulabiliriz.
Kısayol
Şikayet
Özel Mesaj
Alıntı yap
Cevapla