Форум   Статьи   Новости   Файлы   Bugtraq   Сниффер   Друзья   О Клубе
  , 08:31   #1
Местный
 
Аватар для iGloomy
 
Локация: Матрица
Регистрация: 12.06.2010
Сообщений: 123

Репутация: 40 / 1
По умолчанию Предупреждение на mail.ru

Еще одна CSRF на Mail.Ru. Она отключает окно предупреждения о переходе на сторонние сайты.

Вот собственно сам код.

Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.
 

Последний раз редактировалось iGloomy; 17.02.2011 в 08:37.
Пользователь вне форума    
Наши Спонсоры
  , 11:25   #2
Новичок
 
Аватар для gral
 
Регистрация: 11.12.2009
Сообщений: 28

Репутация: -1 / 0
По умолчанию Re: Предупреждение на mail.ru

у меня не получилось...............
может тоже уже не рабочий?
 
Пользователь вне форума    
  , 11:28   #3
Постоянный
 
Аватар для rox@hak
 
Регистрация: 04.07.2010
Сообщений: 608

Репутация: 221 / 3
По умолчанию Re: Предупреждение на mail.ru

Цитата:
Сообщение от gral Посмотреть сообщение
у меня не получилось...............
может тоже уже не рабочий?
А как ты его пробывал? Чтоб получилось, нада этот код кидать на хостинг а не на мыло слать, так как онклик на meil.ru фильтруется!
В случае если есть активка то єтот код будет работать и в теле письма!
__________________
Огонь в глазах, это признак тлеющих опилок в голове!
Пользователь вне форума    
  , 11:34   #4
Новичок
 
Аватар для gral
 
Регистрация: 11.12.2009
Сообщений: 28

Репутация: -1 / 0
По умолчанию Re: Предупреждение на mail.ru

письмом отправлял через:
http://hacking.hut2.ru/mail.ru.php?mail=1

от [email protected]=?Windows-1251?Q?=e0=?=il.ru
 
Пользователь вне форума    
  , 11:41   #5
Постоянный
 
Аватар для rox@hak
 
Регистрация: 04.07.2010
Сообщений: 608

Репутация: 221 / 3
По умолчанию Re: Предупреждение на mail.ru

Цитата:
Сообщение от gral Посмотреть сообщение
Я же написал, в теле єтот код будет работать только совмесно с активной xss!
Если активки нет, тогда вставляешь код в нотепад, сохраняешь как html, заливаешь на хостинг, и какимто образом заманиваешь жертву на залитую страницу, после єтого предупреждение отключится!
Можно использовать редирект на єту страницу(но редирект тоже не безплатный, поэтому сразу можешь обход купить)

Что касается автора этой темы: штука прикольная но както трудновата в юзабилити, ни туда ни сюда, ни так ни сяк!
__________________
Огонь в глазах, это признак тлеющих опилок в голове!
Пользователь вне форума    
  , 13:55   #6
Местный
 
Аватар для iGloomy
 
Локация: Матрица
Регистрация: 12.06.2010
Сообщений: 123

Репутация: 40 / 1
По умолчанию Re: Предупреждение на mail.ru

Цитата:
Сообщение от [email protected] Посмотреть сообщение
Я же написал, в теле єтот код будет работать только совмесно с активной xss!
Если активки нет, тогда вставляешь код в нотепад, сохраняешь как html, заливаешь на хостинг, и какимто образом заманиваешь жертву на залитую страницу, после єтого предупреждение отключится!
Можно использовать редирект на єту страницу(но редирект тоже не безплатный, поэтому сразу можешь обход купить)

Что касается автора этой темы: штука прикольная но както трудновата в юзабилити, ни туда ни сюда, ни так ни сяк!
Ее можно юзать как обход, просто надо чуток до ума довести.
 
Пользователь вне форума    
  , 19:26   #7
Новичок
 
Регистрация: 26.07.2010
Сообщений: 5

Репутация: -1 / 0
По умолчанию Re: Предупреждение на mail.ru

зачем жертву заманивать на свой хост если окно предупреждения убирается вот этой строчкой
Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

вот пример
Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.

правда маил не даст передать данные из формы в теле письма но предупреждения не будет при переходе на другой сайт.
 
Пользователь вне форума    
  , 20:36   #8
Местный
 
Аватар для Mr.net
 
Локация: ⒽⒶⒸⓀⒺⓇ - ⓅⓇⓞ.ⓃⒺⓉ
Регистрация: 08.07.2010
Сообщений: 455

Репутация: 67 / 1
По умолчанию Re: Предупреждение на mail.ru

Цитата:
Сообщение от megadeth Посмотреть сообщение
зачем жертву заманивать на свой хост если окно предупреждения убирается вот этой строчкой
*** скрытый текст ***
вот пример
*** скрытый текст ***
правда маил не даст передать данные из формы в теле письма но предупреждения не будет при переходе на другой сайт.
не прокатит в теле письма,но можно этим способом заманить на фейк с секретным вопросом....но опять же ,для того чтобы жертва повелась ,нужен способ отправки от админа с иконкой,блин пока найдешь все способы этот просто к тому времени приикроют..
 
Пользователь вне форума    
  , 21:14   #9
Новичок
 
Регистрация: 20.02.2011
Сообщений: 4

Репутация: 0 / 0
По умолчанию Re: Предупреждение на mail.ru

iGloomy, отличный способ!
[email protected], залила html файл на хостинг, спасибо за совет.
Есть 2 проблемы:
1) предупреждение отключается, если заходить с Мозиллы или Оперы. Если с IE7, то при включенном антивирусе (Авира) антивирь не пропускает переход на страницу с кодом вообще. Если антивирь отключить, переход происходит, но предупреждение потом и дальше вылезает.
2) создаю второй файл, где ставлю везде вместо значения 1 - ноль. Перехожу на страницу - предупреждение как исчезло, так больше и не появляется. Вернуть как-то можно его?
 
Пользователь вне форума    
  , 10:09   #10
Новичок
 
Регистрация: 17.02.2011
Сообщений: 2

Репутация: 0 / 0
По умолчанию Re: Предупреждение на mail.ru

Hide:
Чтобы просмотреть данный текст, авторизуйтесь на форуме.


Эта уловка перестала работать :( Есть альтернативы?
 
Пользователь вне форума    
  , 10:16   #11
Banned
 
Регистрация: 14.02.2011
Сообщений: 205

Репутация: 6 / 0
По умолчанию Re: Предупреждение на mail.ru

Могу поменяться рабочим обходом на xss mail.ru
 
Пользователь вне форума    
  , 21:31   #12
Форумчанин
 
Регистрация: 12.02.2011
Сообщений: 49

Репутация: 0 / 0
По умолчанию Re: Предупреждение на mail.ru

Могу научить обходу и отправке писем с иконками вконтакте, одноклассники и др. Ест-но не бесплатно.
 
Пользователь вне форума    
  , 23:30   #13
Форумчанин
 
Аватар для Rool
 
Регистрация: 03.03.2011
Сообщений: 33

Репутация: 1 / 0
По умолчанию

подскажите работает или уже нет?
__________________
Мы знаем, кто мы есть, но не знаем, кем мы можем быть. Вильям Шекспир
Пользователь вне форума    
  , 11:39   #14
НЕ ПРОВЕРЕН
 
Регистрация: 02.05.2018
Сообщений: 1

Репутация: 0 / 0
По умолчанию

Тема актуальная. Может кто подскажет как обходить блокировку предупреждения о переходе на сторонние сайты, именно mail.ru?
 
Пользователь вне форума    
 

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Пример HTML письма на mail.ru Neo-pro E-Mail 3 21.03.2011 01:33
Уязвимости в Mail.ru заставляют закрыть шантажом FrostArtes Архив новостей 0 14.09.2010 16:21
Mail.Ru открывает API для внешних сайтов vonkolot Архив новостей 1 16.06.2010 03:07



Часовой пояс GMT +2
Powered by vBulletin® 3.x.x Copyright ©2000 - 2012, Jelsoft Enterprises Ltd.

Copyright © 2008 - 2013 «HPC» Реклама на сайте Правила Форума Пользовательское соглашение Работа на сайте
При копировании материалов ставьте ссылку на источник
Все материалы представлены только в ознакомительных целях, администрация за их использование ответственности не несет.