Hacking yahoo

Ebbene si', l'hacking e' una pratica ma e' anche un bisogno fisiologico per alcune persone.

A volte non scegli tu quando iniziare: ti capita un'occasione e ti lanci.

Prendete me per esempio: sono le 7:50 e alle 9 devo essere a lavorare.

Alle 6:30 mi alzo, accendo il pc, mi faccio il te' e leggo le mail (una delle quali su yahoo).

Cosa ci trovo? La solita mail di spam (una sola? strano!) con un virus.

Alcuni di voi sapranno che faccio collezione di virus perche' li decompilo e li studio, cosi', anche se ormai so che nel 90% dei casi ogni giorno mi arrivano 4 mail da NetSky.p (evidentemente si e' innamorato di me. Lo aveva anche scritto in una mail, se ricordo bene OLD ) clicco su "controlla e scarica l'allegato" per vedere cosa l'antivirus di yahoo mi dira'.

So che se trovera' un virus non me lo lascera' scaricare. Scelta intelligente per la maggior parte degli utonti, ma deleteria per chi come me vorrebbe imparare da questi piccoli software e detesta le censure.

Clicco...

pensa... pensa... pensa...

Viene fuori una pagina con scritto "la scansione non ha avuto luogo" e sotto tre tasti tra cui uno "scaricare senza scansione?"

Clicco e scarico il virus (ho linux, che mi frega? OLD) poi clicco sul tasto "ripeti scansione" e ottengo la solita pagina che mi informa che si tratta di NetSky.C (che bello, mi mancava).

Ma adesso inizio a ragionare.

Esiste una possibilita' per bypassare il controllo antivirus di yahoo e puntare direttamente all'allegato?

Vediamo:

Prendiamo i due link "scarica senza scansione" e "controlla e scarica", riordiniamo i paramteri via get e vediamo se ne ricaviamo qualcosa

il link per scarica senza scansione era:

http://it.f141.mail.yahoo.com/ym/ShowLetter/?box=%40B%40Bulk&MsgId=4778_1906939_142_979_24856_ 0_2715_34740_200000458&bodyPart=2&tnef=&YY=78817&o rder=down&sort=date&pos=0&view=a&head=f&filename=& download=1

mentre per scansionare:

http://it.f141.mail.yahoo.com/ym/ShowLetter/?box=%40B%40Bulk&MsgId=4778_1906939_142_979_24856_ 0_2715_34740_200000458&bodyPart=2&tnef=&YY=41285&o rder=down&sort=date&pos=0&view=a&head=f&VScan=1

iniziamo a ragionare partendo dal SECONDO link, che e' quello che solitamente abbiamo a disposizione, mentre il primo e' quello a cui vogliamo arrivare.

Dividiamo i parametri via get (sono separati da &):

http://it.f141.mail.yahoo.com/ym/ShowLetter/
box=%40B%40Bulk
MsgId=4778_1906939_142_979_24856_0_2715_34740_2000 00458
bodyPart=2
tnef=
YY=41285
order=down
sort=date
pos=0
view=a
head=f
VScan=1

A parte l'indirizzo di base notiamo che:
box
e' molto probabilmente la cartella "spam" di yahoo. Facciamo due test e capiamo che si tratta proprio di quella.
L'indirizzo e' cosi' particolare perche' il suo contenuto non viene conteggiato nello spazio della casella, quindi e' identificata in modo diverso dalle altre (che hanno solo un numero)

MsgId
e' l'id del messaggio. Questo e' importante perche' identifica la mail.

bodyPart
probabilmente indica la parte del messaggio che e' l'allegato.

tnef
YY
non saprei proprio, YY cambia in continuazione e probabilmente e' un numero random associato al cookie. Non ho controllato ma si fa presto a farlo (ma io tra mezz'ora devo uscire)

order
sort
pos
view
sono impostazioni di visualizzazione.

head
Facilmente e' l'impostazione degli header. Io ho completi (full) ed infatti e' uguale a f.

VScan
Ecco che qualcosa salta agli occhi.
Questo dovrebbe essere il link alla scansione.

Vediamo adesso di confrontarlo con l'altro indirizzo.

A parte YY che cambia ad ogni clic, vediamo che il parametro VScan e' scomparso, mentre sono comparsi i parametri:

filename=
download=1

filename
facilmente non e' impostato in modo da chiedermi quale nome voglio dare al file mentre lo salvo. Se lo impostassi probabilmente mi suggerirebbe un nome lui.

download
Impostato a 1 (dopotutto e' TRUE no?) mi fara' scaricare?

Proviamo!

Prendiamo una qualunque altra mail con un allegato da scaricare.

Ora copiamo il link di "controlla e scarica" nella barra del nostro browser, rechiamoci in fondo a tutto dove troviamo VScan e sostituiamolo con filename=&download=1, poi premiamo invio...

tadaaaa ecco la finestra "salva con nome".


Abbiamo appena imparato a bypassare il controllo antivirus di yahoo e abbiamo capito un po' meglio come lavora il sistema di posta della nostra casella.

L'unica cosa che ci rimane da fare (nel mio caso, almeno) e' farsi la barba ed uscire di corsa, perche'...

... l'hacking e' una pratica ma e' anche un bisogno fisiologico per alcune persone.

A volte non scegli tu quando iniziare: ti capita un'occasione e ti lanci.

Prendete me per esempio: sono le 8:10 e alle 9 devo essere a lavorare....

azzz..... ottima guida

Cod come al solito grazie per le ispirazioni e le ottime news!!!! OLD

Me lo sono letto tutto ma il sanscrito mi è apparso più abbordabile... Non sapete quando darei per avere un po' di conoscenze del genere...

A chi lo dici...comunque le info ke da Cod sono scritte in 1 modo così semplice ke anche 1 neonato capirebbe....
Io non so + dove sbattere la testa per riuscire a fare delle cosucce ke non posso dirti qui......

Ottima guida...davvero, peccato che non uso yahoo :grin: :smile:

manko io xò...
Cod 1 lista di tutte cose ke hai scoperto???
Al max 1 lista di tutti i source code dei virus(ho xso il link ke li dava!!!!!!)

io l'ho capito perché sto imparando il php

manko io xò...
Cod 1 lista di tutte cose ke hai scoperto???
Al max 1 lista di tutti i source code dei virus(ho xso il link ke li dava!!!!!!)

Che link?

Dunque, fare un sommario di cio' che ho scoperto e' prematuro.

A parte il sostituire VScan=1 con filename=&download=1 direi che devo ancora fare un po' di esperimenti e vedere come reagisce yahoo.

Se volete vi tengo informati

[ot]
Source code dei virus?

Se cercate virus sono l'ultima persona a cui chiedere OLD li tengo per studio ma non mi metto certo a diffonderli.

Comunque per la cronaca ho:
AntiEXE (virus russo vecchissimo, creato per attaccare un exe con una dimensione precisa, non si e' mai scoperto quale fosse)
BarkOrifice
Blaster
BugBear.b
DiabloKeys
ElKern.c
Girlfriend
Klez.e
NetBus
NetSky.b1
NetSky.c
NetSky.p
NetSphere
Sober.c
Sobig.e
Sobig.f
Spaces_1445_v
SubSeven
unsecure

Se ne avete altri e volete farmi felice potete spedirmeli: virus@crescentofdarkness.cjb.net

Avete la mia personale assicurazione che non li utilizzero' MAI a scopo aggressivo o per creare altri virus.
[/ot]

Anke io prima ke perdessi quel link ne avevo presi alcuni:
I Love Yoy
Melissa
Michelangelo
Anke io li tengo x sutiarli nn compilati!!!!

[gve]

Se puo` interessare a me usando yahoopops o freepops per scaricare via client la posta di yahoo gli allegati li prende sempre, con o senza virus che siano.

Io sapevo che il pop3 su yahoo era a pagamento

Spiegami meglio.

Cod tu i file dei virus e gli exe come li decompili???

Su windows uso un hex editor (ne ho due o tre ma molti sono copie di valutazione scadute) mentre su linux per ora non ne ho messi.

In linea di massima per decompilare qualcosa basta un buon hex editor come hackman (che non a caso ha un'icona come il tuo avatar OLD ) mentre per studiare e modificare un file exe servono (a parer mio):
w32dasm
hiew

e se si vogliono studaire meglio i files fatti con visual basic
vbref

Con questi strumentini riesci anche a "patchare" qualche file.

Ricordo di qualcuno che mi aveva chiesto di craccare un file exe per un concorso di hackers journal. Sapendo usare un pochino questi strumenti si faceva in 5 minuti (alla faccia del concorso, vabbe')

[gve]

Yahoopops e freepops sono delle specie di gateway (credo si possano chiamare cosi`) da web a pop3. Tipo quelli di cui si era parlato per la lettura della posta di libero quando hanno bloccato l'accesso via pop ai piu`, un po' di tempo fa: infatti freepops altro non e` che l'evoluzione di liberopops. In sostanza creano un pop3 virtuale per il client di posta: si occupano di leggere da web la posta e trasformare tale lettura nel formato adeguato per un client pop3.

Comunque piu` che le spiegazioni ti rimando ai siti: YahooPOP e FreePOPs

Freepops supporta anche altre webmail oltre a yahoo, e inoltre e` piu` veloce nel fare il suo lavoro. Per finire sempre freepops e` cosa di cui dovremmo essere orgogliosi perche` il team di sviluppo di questo ottimo progetto e` italiano.

scusate...ma...
io scarico tranquillamente la posta sia con libero sia con yahoo
senza freepops vari

[Ospite]

Appunto...

[gve]

scusate...ma...
io scarico tranquillamente la posta sia con libero sia con yahoo
senza freepops vari

Libero puoi scaricarla solo se ti colleghi con Libero (e io ho l'ADSL di Tiscali), mentre per yahoo dipende dalla localizzazione: yahoo.com e molti altri forniscono l'accesso via pop solo a pagamento (il mio account e appunto .com), mentre yahoo.it per ora fornisce ancora gratuitamente l'accesso via pop.

hai colmato una curiosa lacuna personale :winkOLD:
grazie

Questo non mi torna.

Io ho yahoo.it eppure nella guida dice:

http://help.yahoo.com/help/it/mail/pop/pop-07.html

L'accesso POP3 e SMTP è un servizio gratuito riservato agli abbonati di Yahoo! Delivers. Se vuoi iscriverti a Yahoo! Delivers, e quindi poter inviare e ricevere i messaggi di Yahoo! Mail da un client di posta,

Cioe' devo iscrivermi per avere un accesso pop3, giusto?

[gve]

Penso di si CoD. Un tempo con yahoo.com funzionava cosi`, io ero iscritto. Comunque le offerte che ti inviavano erano tutt'altro che invasive (a me non ne arrivavano mai piu` di 2-3 al mese). E la gente che so conosco che scarica via pop3 la posta di yahoo.it non si e` mai lamentata di dover subire bombardamenti pubblicitari da parte di yahoo.

Questo non mi torna.

Io ho yahoo.it eppure nella guida dice:



Cioe' devo iscrivermi per avere un accesso pop3, giusto?

Devi compilare un modulo oltre a quello che hai gia' fatto per iscriverti a yahoo....

[marcio]

Io quello che ha scritto Cod l'ho capito,cmq sono stati stupidi quelli di yahoo a programmare la mail in modo che tutti potessero facilmente modificare i parametri..

Lol....

[gve]

Secodo me marcio la cosa gli interesava relativamente ... il fatto che qualcuno abbia creato dei programmi che permettono di scaricare per intero la posta, quello penso posa dargli maggiomente fastidio. Ma quello non credo abbian modo di impedirlo.

Scusate ma come s fa a prendere un virus e decompilarlo senza essere infettati??????

Un virus é un'eseguibile: se non lo mandi in esecuzione non t'infetti...

Si ma di solito i virus si autoeseguono!!

[marcio]

Veramente non si autoeseguono si autodiffondono al massimo ma sei tu che lo scarichi e ci clicchi due volte per aprirlo.

[stor]

Beh, cosi' era prima dei vari nimda, sasser ecc, il sasser per esempio mi ha infestato il pc (aziendale per fortuna) non appena connesso alla lan, e il pc era semplicemente acceso senza alcun programma avviato. Sarebbe stato fermato dal firewall... ma per potermi collegare con la lan aziendale ero obbligato ad abbassarlo... ed era ormai troppo tardi quando ho fatto caso agli strani versi degli altri colleghi alle prese con i loro pc :grin: