[Discussion] cơ chế lưu pass của yahoo 11.x |
04/04/2012 00:50:43 (+0700) | #1 | 260773 |
vjru5zl0v3
Member
|
0 |
|
|
Joined: 13/10/2007 16:17:21
Messages: 13
Offline
|
|
mình mới thử con xpass v2.2 để xem nó ntn
mình log out luôn Y!M ra, sử dụng xpass để soi thử, thấy ký tự nó capture đc chỉ là 'password' (mặc dù password của mình là abc****)
sau đó mình xóa đi, nhập lại id và pass, chưa vội đăng nhập mà sử dụng xpass soi thì nó soi đc đúng pass của mình là abc****
đăng nhập vào và log out luôn, soi thử, lại vẫn đúng là đoạn abc****
thoát hoàn toàn Y!M (thoát cả ở tray, và vẫn để remember trước đó) bật lên, soi lại thì thấy password lưu lại trở về thành đoạn 'password', đăng nhập vẫn đc
thử xóa pass dưới đi, nhập từ password vào ô password và đăng nhập, thì nó báo fail
vậy yahoo nó sử dụng cơ chế lưu ntn mà có thể làm đc như vậy
và nếu dựa theo hướng này liệu sẽ có thể có cách vào đc nick Y!M của bất cứ ai đã từng remember trên máy hay ko? |
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
05/04/2012 22:27:03 (+0700) | #2 | 260881 |
likiwi
Member
|
0 |
|
|
Joined: 16/12/2011 07:43:05
Messages: 1
Offline
|
|
thía mới là chuyện ! ko phải bỗng nhiên mà yahoo lại nổi tiếng thía đâu bạn à ! |
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
05/04/2012 23:45:52 (+0700) | #3 | 260889 |
n2tforever
Member
|
0 |
|
|
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
|
|
khi YM được thiết lập chế độ lưu password thì khi người dùng đăng nhập thanh công nó sẽ dùng một thuật toán băm cái pass thành một chuỗi hằm bà lằng và lưu vào registry. Sau đó khi chương trình yahoo được bật lên trước tiên nó sẽ kiểm tra xem chế độ lưu pass có được bật không?, nếu được bật thì nó tạo một cái pass giả nội dung là "password" rồi ghi vào form đăng nhập, bây giờ có hai trường hợp:
1.nếu người dùng nhập pass vào: yahoo nó sẽ băm cái pass vừa nhập này thành chuỗi hầm bà lằng và gửi lên sever để xác thực
2.nếu người dùng không làm gì và ấn sign in: yahoo nó lấy cái chuỗi hầm bà lằng đã lưu trong registry trước đó và gửi lên sever để xác thực
cơ bản là như vậy
|
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 08:24:52 (+0700) | #4 | 260900 |
|
n3RdSeK
Member
|
0 |
|
|
Joined: 01/04/2012 08:02:43
Messages: 5
Location: >pwd
Offline
|
|
Bạn có thể cho mình biết nó lưu cái chuỗi "hằm bà lằng" đó ở chỗ nào trong registry không?!? Mình muốn xem cái đó nó như thế nào. |
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 10:07:59 (+0700) | #5 | 260905 |
n2tforever
Member
|
0 |
|
|
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
|
|
n3RdSeK wrote:
Bạn có thể cho mình biết nó lưu cái chuỗi "hằm bà lằng" đó ở chỗ nào trong registry không?!? Mình muốn xem cái đó nó như thế nào.
HKEY_CURRENT_UER\software\yahoo\pager\ETS
cái ETS này không phải là chuỗi được gửi đến sever để xác thực,chuỗi được dùng để xác thực được tính dựa vào các tham số:
1. ETS
2. username
3. salt (hình như là MS sucks không nhớ lắm )
|
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 10:28:25 (+0700) | #6 | 260906 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
n2tforever wrote:
n3RdSeK wrote:
Bạn có thể cho mình biết nó lưu cái chuỗi "hằm bà lằng" đó ở chỗ nào trong registry không?!? Mình muốn xem cái đó nó như thế nào.
HKEY_CURRENT_UER\software\yahoo\pager\ETS
cái ETS này không phải là chuỗi được gửi đến sever để xác thực,chuỗi được dùng để xác thực được tính dựa vào các tham số:
1. ETS
2. username
3. salt (hình như là MS sucks không nhớ lắm )
salt là MBCS sucks. |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 10:49:43 (+0700) | #7 | 260907 |
BlueMM
Member
|
0 |
|
|
Joined: 14/02/2012 05:11:33
Messages: 28
Offline
|
|
Pass của yahoo được lưu trong registry, theo mình nó dùng thuật toán mã hoá bất đối xứng. Do đó ta không thể "crack" được nếu không có private key của Yahoo |
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 11:24:15 (+0700) | #8 | 260910 |
|
n3RdSeK
Member
|
0 |
|
|
Joined: 01/04/2012 08:02:43
Messages: 5
Location: >pwd
Offline
|
|
Mình có thắc mắc thế này:
Giả sử máy mình và máy của victim dùng cùng một phiên bản yahoo. Mình có cơ hội lấy được file HKEY_CURRENT_UER\software\yahoo\pager\ETS rồi replace vào đúng chỗ để file ETS trên máy mình. Vậy mình có thể dùng Yahoo ID của victim để đăng nhập mà không cần biết password của ID đó là gì?!? |
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 11:44:23 (+0700) | #9 | 260911 |
n2tforever
Member
|
0 |
|
|
Joined: 01/07/2011 15:39:51
Messages: 92
Offline
|
|
n3RdSeK wrote:
Mình có thắc mắc thế này:
Giả sử máy mình và máy của victim dùng cùng một phiên bản yahoo. Mình có cơ hội lấy được file HKEY_CURRENT_UER\software\yahoo\pager\ETS rồi replace vào đúng chỗ để file ETS trên máy mình. Vậy mình có thể dùng Yahoo ID của victim để đăng nhập mà không cần biết password của ID đó là gì?!?
bồ mở máy lên test thử xem |
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 13:02:30 (+0700) | #10 | 260915 |
|
n3RdSeK
Member
|
0 |
|
|
Joined: 01/04/2012 08:02:43
Messages: 5
Location: >pwd
Offline
|
|
Mình đã thử và xác nhận là "Okay!". |
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 13:25:12 (+0700) | #11 | 260916 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
BlueMM wrote:
Pass của yahoo được lưu trong registry, theo mình nó dùng thuật toán mã hoá bất đối xứng. Do đó ta không thể "crack" được nếu không có private key của Yahoo
Không đúng đâu, từ Yahoo Messenger 7.5 trở đi thì password Yahoo! của user không được lưu trong registry mà có thông tin dùng để xác thực khác được lưu trong registry ở dạng đã được mã hóa. Thông tin được Yahoo! dùng để xác thực thì được mã hóa đối xứng rồi lưu lại trong registry.
|
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
06/04/2012 13:33:39 (+0700) | #12 | 260917 |
|
bolzano_1989
Journalist
|
0 |
|
|
Joined: 30/01/2007 12:49:15
Messages: 1406
Offline
|
|
n3RdSeK wrote:
Mình đã thử và xác nhận là "Okay!".
Cái này mình và bạn kamikazeq/khaiabc đã phát hiện từ lâu trong năm 2010 nhưng giữ bí mật .
Đây là dạng Pass the Hash Attack đối với Yahoo! Messenger, nếu bạn có theo dõi blog của anh rongchaua thì sẽ thấy anh rongchaua đã công bố tấn công này ở blog của anh ấy từ tháng 1/2011 rồi, nhưng tựa đề bài viết của anh ấy có lỗi chính tả "Security – Pass hack attack for Yahoo Messenger":
Rongchaua's blog » Security – Pass hack attack for Yahoo Messenger
http://rongchaua.net/blog/security-pass-hack-attack-for-yahoo-messenger/ |
|
Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY |
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
18/04/2012 22:11:30 (+0700) | #13 | 261670 |
sparrowvn
Member
|
0 |
|
|
Joined: 12/03/2012 21:21:05
Messages: 12
Offline
|
|
Kiểu giữ pass hash của yahoo này đã tồn tại từ ngày yahoo dùng cơ chế́ remember. Người sử dụng cách này đầu tiên mà tôi biết là khoảng năm 2006-2007 và có tool release khoảng 2008 |
|
Test lỗ hổng web : http://iwast.securitas.com.vn |
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
20/04/2012 17:23:51 (+0700) | #14 | 261768 |
Mahoa
Member
|
0 |
|
|
Joined: 06/07/2006 20:39:38
Messages: 56
Offline
|
|
Mình đã kiểm tra lại, kỹ thuật trên không còn có tác dụng đối với Yahoo 11.5.0.192
Mình áp dụng trên chính máy mình thì đc, còn lấy file .reg từ máy victim sau đó chèn vào máy mình thì không có tác dụng nữa.
Trước giờ mình vẫn dùng cách này để đăng nhập, mình làm biếng đánh mật khẩu, vì mình dùng nhiều nick Yahoo, mỗi nick mỗi mật khẩu, dài ... làm biếng đánh, nên mình tạo nhiều file reg và muốn vào nick nào thì click vào file .reg nick đó.
Hehe |
|
|
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
13/07/2012 11:48:47 (+0700) | #15 | 266681 |
soujiro_seta
Member
|
0 |
|
|
Joined: 27/08/2004 15:11:33
Messages: 1
Offline
|
|
Cái này mình mới đọc được, chuơng trình phục hồi password của Wondershare: http://www.wondershare.com/disk-utility/yahoo-mail-password-cracker.html
Tiếc là mình chưa tìm được crack để thử. |
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
13/07/2012 22:33:47 (+0700) | #16 | 266741 |
skidubai
Member
|
0 |
|
|
Joined: 24/11/2011 02:15:27
Messages: 13
Offline
|
|
Con này dùng trên môi trường IE khá hữu dụng. |
|
|
[Discussion] cơ chế lưu pass của yahoo 11.x |
21/07/2012 10:20:39 (+0700) | #17 | 267233 |
ZeroKull
Member
|
0 |
|
|
Joined: 02/01/2012 23:44:50
Messages: 1
Offline
|
|
sao mình vào cái HKEY_CURRENT_UER\software\yahoo\pager mà k thấy cái /ETC đâu nhỉ |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|