Статья из журнале "Хакер" за 02.2007
Вступление.
Со времен последник факов и мануалов по icq хакингу прошло довольно много времени, что то осталось, что то стало неактуальным и кануло в прошлое. Все давно умеют пользоваться ipdBrute, знают откуда достать базы PM(primary mail) и как их чекать.
Поэтому в данной статье будем рассказывать о некоторых тонкостях из icq мира.
1. Свеженькие пятизнаки.
Хочу развеять стереотип о том, что абсолютно все пятизнаки регистрировались в бородатом году, и пятерок с простыми паролями уже не осталось. В этом есть доля правды, но открою вам один секрет. Как всем известно пятизнаков отнюдь не 10000-99999, а гораздо меньше, немного более чем две тысячи. Так вот, составляя программой errwolker собственную базу "живых" пятизнаков, были найдены существенные различаи со старой базой, что выкладывалась на асечке. В новом списке изменения были на лицо, откуда то появились левые номер, большая часть из которых была элитной, наподобии ХХуХХ. Было принято решение порверить свежак на простейшие пароли. После недолговременного брута был весьма хороший результат, наикрасивейшие пятизнаки "летели" на пароли типа "internet" и даже на "12345". Как оказалось, это были номера новых работников icq или же их друзей. Несмотря на успешный улов, погоду портило, то что процент возвращения уина хозяинами был велик, но что то все же оставалось.
Это целиком устраивало, учитывая легкость их добычи. В завершении расскажу о веселом случае, произошедшим с моим другом. Так вот, он снял номер bcdea на пароль "opress", соответсвтвенно поменял его и отложил. Но в то время брут еще работал и в листах еще был этот уин, огромное удивление было, когда этот же уин снова выпал в бруте уже с более простым паролем "susi". Как оказалось хозяином уина была подруга админа, которая после угона ее номерка поставила еще проще пароль.
Так что вот, ребята, следите за появившимися пятерками и дерзайте;))
2. Админы VS асечники
Давно не секрет, что люди из мирабилис посещают порталы, посвященные icq хаку. Они прекрасно знают, что происходит на подобных сайтах, знают адреса наших магазинов, но никаких действий не предпринимают. Ведь мы фактически продвигаем их продукт, чаще от асечников они узнают о различных багах связанных с асей. Но в каждом стаде есть паршивая овца…
Одним прекрасным утром, я включил компьютер и первым делом захожу в аську. Не проходит и пяти минут, как на экране выскакивает табличка «Ваш номер используется на другом компьютере». Я сразу понял, что аська не угнана. Программой icqinfo проверяю статус своего номерка и вижу:
Чекаю уин напарника по магазину, аналогичная ситуация. Я был в шоке и некоторое время не мог дать объяснения случившемуся. Далее иду на форум асечки, с надеждой там найти все ответы. Вижу тему про анреги, и в ней отписались ребята у которых тоже в тот день убили уины. Топик на форуме в считнанные часы разросся на множество страниц, люди предлагали различные версии случившегося, но я кол****ся между двумя: админы icq или турки. Админы стояли под большим вопросом, удалили только контактные номера с шопов, а не его содержимое. Турки тоже могли, т.к. любят ковыряться и находить баги, к тому же они не особо долюбливают русских. На форуме была паника, постояльцы скрывали свои уины масками, многие магазины на время прекратили деятельность. После долгих расследований была найдена причина. Сверив логи посещения наших шопов, был найден одинаковый ip и рефер был из яндекса по запросу "продажа ICQ Номеров". Whois сервис выдал, что ip пренадлежит America Online ICQ. Все стало на свои места, владельцы шопов оперативно забанили сетку аола на своих сайтах и зажили счастливо. Только этот олень, все не мог успокоиться, в логах было видно, как он много раз пытается проникнуть на сайт, видать, что такое прокси, ему никто не говорил. Как потом удалось выяснить, этим админом оказался Lior Grafi и у него почему то непонятная ненависть к русским, может он обиделся, что его старый пятак тыранули и он лежит у нас , но странно почему он его не может вернуть.
3. Icq fishing
Наверняка многие пользователи, имеющие красивый номерок, подвергались разводкам от различных «кис», «похотливых попок» и т.д. Например сидишь ты, попиваешь пивко и вдруг с неизвестного уина приходит тебе мессага от некой обожательницы, мол ты обязан зайти по данной ссылке посмотреть на ее сиськи или что-нибудь скачать. От нехватки в данный момент женского тепла, твой подпитый мозг принимает решение все же взглянуть на фото… Проснувшись утром с головной болью, ты пытаешся зайти в асю, но тут выскакивает непонятная табличка «Неверный пароль», и все твои пасы улетели к «неизвестной даме». В то время, как ты ломаешь голову по восстановлению паролей и избавления от коняги, какой то паренек от твоего имени разводит твой же контакт лист, занимает деньги или впаривает троя, сплоит.
Так же часто спам в аську имеет похожий характер. Про icq спам не будем вдаваться в подробности, но хочу предупредить хозяев длинных номеров, не стоит думать, что раз номер кривой девятизнак, то надо ставить пароль «123», и он никому не нужен. Т.к.. для спама, флуда и т.д. нужно большое колличество уинов, а горячо любимые мирабы постоянно прижимают icq спамеров и строят разные козни, делая нереальным авторегу кучи уинов. Поэтому становится актуальнее сбрутить нужное колличество уинов.
Хочу добавить, что для прекращения страданий от назойливого спама, необходимо удалить все инфо, кроме ника, из эбаута номера, т.к. спамерский софт работает целенаправлено. Т.е. если вписано в графу «Язык» например Албанский, а заказчику спама нужен только албанский контенгент, то твой уин автоматом попадает под спам.
Ну или достаточно убрать галку с "Показывать мой статус для веб и поиска" (веб-индикция), ну т.е. чтоб цветок был "белый".
4. PM базы – эфективный способ угона?
Рассмотрим разные новшества, введенные мирабами при ретриве. Работники icq в последнее время так часто что то меняли в системе восстановления паса, что сами запутались и наделали косяков.
И так, сама система ретрива появилась в далёком 1999 году, на страничке wwwicq.com/password появилась возможность высылать пароль на вписанный в деталях номера e-mail. Система работала стабильно, и особых трудностей с отправкой пароля не возникало. Примерно в середине 2004 года, появилось такое понятие, как "номер-невидимка", это были номера, которые не были видны в поиске (ака вайтпагах). В долгой отлежке у номера пропадал контакт лист и все инфо. Нет определенного промежутка времени за который, неюзаемый номер становится невидимым. Бывало за год номер исчезал из поиска, бывало и за два номер не становился невидимым. Чтобы номер вернулся к жизни, нужно вписать детали в инфо номера или же залогиниться в него альтернативным клиентом типа миранды или &RQ. Номеров-невидимок становилось всё больше и к концу 2004 года около 30% 5,6,7,8-значных номеров были невидимками. Инвизы считаются самыми надежными номерами, так как невидимость – это гарант того, что у номера нет примака.
Первые интерестные изменения в ретриве появились в начале января 2005 года, у всех "номеров-невидимок" отвалился примари-мейл, самое популярное мнение на то время было, что это попросту глюк в базе и примари у "неведимок" отвалился из-за некомпетентности работников ICQ. Я слабо в это верю и считаю, что это вполне обдуманные действия мирабов, дабы обрезать крылашки любителям угонять номера через праймари -мейл Следущие изменения произошли 28-го марта 2005-го, при ретриве пароля на номер в обязательном порядке нужно было устанавливать секретные вопросы на номер, после чего, праймари-мейл с которого устанавливали вопросы попросту отваливался. С этого дня сервис по восстановлению пароля с натяжкой можно было назвать стабильным. Творились просто чудеса, примари у номеров сами по себе отваливались, то вновь чудесным образом "воскрешались", и на них снова можно было отослать пароль. Бывало страница wwwicq.com/password по-долгу не открывалась или зависала на какой то стадии ретрива.. Более менее система стабилизировалась в феврале 2006-го. Так же произошло одно изменение, теперь праймари-мейл не отваливался после установки вопросов, при условии, если это первый вписанный мейл. Ну и наконец, в июне 2006-го на радость всех брутеров, отвалились примаки почти у всех номеров, за редким исключением, вписанный до начала 2006-го года. Таким образом утверждение, что чем старее база, тем она лучше и правдивее, стало неактуальным. Своими действиями работники icq добились своего: форма ретрива используется по прямому назначению, на мыльные сервисы перестали лететь тонны пакетов от чекеров. Но не особой давнсти баг немного оживил ситуацию. При серче уина показывалось мыло, вписанное в детали, независимо от того, стоит галочка «непоказывать адрес емаила» или нет. Вмомент были собраны новые базы, и новые примаки, которые все скрывали были в этой базе. Конечно не особо много удалось выжать с этих баз, но все же что-то. Безусловно больше повезло, певым кто прочекал новую базу, в которой достаточно накопилось заброшенных адресов мыла.
5. IPD SE – брут нового поколения.
И так дорогой дружок, ты наверняка слышал и возможно даже видел, и пользовался такой чудесной программой для перебора паролей к уинам (или говоря человеческим языком «Брутом» ) как Ipdbrute2/udc Lite или её модификацией, умеющей автоматически менять пароли на сбрученных номерах - Ipdbrute2/udc Pro. Но дорогой читатель открою тебе небольшой секрет , есть ещё и специальная приватная версия, которая именуется, как Ipdbrute2/udc Pro SE. VKE(автор IPD) не стал её выкладывать в паблик, а раздал её своим друзьям и хорошим знакомым с наставлением не раздавать её всем подряд и использовать только для своего блага. Как я уже говорил, что в каждом стаде есть паршивая овца, поэтому брут не так давно всё же просочился в паблик. Мы провели тщательный осмотр пациента в нашей iсq лаборатории и предоставляем наш отчёт . И так смотрим, чем же так хорош этот Ipdbrute2/udc SE, что два года его не рисковали выложить на всеобщее обозрение.
При первом запуске видно мало отличай от Ipdbrute2/udc Pro, разве что надпись изменилась в шапке с “Ipdbrute2/udc Pro (с) 20002-2003 VKE” на “Ipdbrute2/udc SE (с) 1980-2004 …”, и в “About…” появились приветы от автора небезызвестным на icq-сцене личностям. Как мы видим интерфейс программы не претерпел каких-либо изменений. Теперь посмотрим же на саму работу Брута. Во втором издании брут работает через разные сервера ICQ, которые можно редактировать самому в файле macroses.xml. Благодаря этой возможности, новый брут и выигрывает у своей более старой версии, которая логинится только к стандартоному серверу на 5190 порте.
И так мы взяли 130 скоростных проксей и попробывали угнать какую-нибудь шестизначку на пароль “vegas”. Значение threads (потоки) мы выставили 500, cleanup (отсеивание мертвых проксей) был каждые 30 минут. Колличество потоков выставляется методом проб, индивидуально под каждый конфиг компа и канал инета.
Теперь посмотрим на сравнительную таблицу работ брутов:
Как мы видим Ipdbrute2/udc Pro значительно проигрывает в скорости Ipdbrute2/udc Pro Se, так что, начинающий icq хек, выкидывай свой старый брут и переходи на более продвиную версию SE.
P.s. В ходе экспирементов было выловлено 26 шестизначек
6.Вся правда об админах ICQ.
Наверняка все когда-то думали:
1)"На каких же номерах сидят работники ICQ?"
2)"Могут ли простые "смертные" сидеть на таких номерах?"
3)"Возможно ли поиметь админа icq?"
Нам удалось подобраться очень близко=)) И наконец Ваше любопытство удовлетворено!
Отвечаю:
1) ТУТ лежит контакт одного из админов,
знакомые говорят, что этот список самый полный. В группах: Co-Workers, Ex-ICQ, General, support сидят "боги" icq.
Хочу отметить несколько групп в его контакте.
Family;342764160;YaelAlon;0
Family;44448;ziv;0
Family;59995;yael sis;0
Пятизнаки xy жене и ребенку, теще кривой 9 знак )
ICQ uins i give;55515;stanislav - dev;0
ICQ uins i give;87778;Leon - web;0
За отдельную плату я дам вам номер админа =) Как этож надо было просить, чтоб он дал 5 xy.
my fans;135220845;Judea Warrior
my fans;147122097;NightWolf;0
my fans;285532070;stupid fish;0
my fans;39666;Fallen Angel;0
my fans;661186;o2 Goodiez;0
Админы столь популярны, что и у них есть фанаты;)
И больше всего порадовала группа)))))
hackers;102030404;NukedX's Bot;0
hackers;171750;Sergue;0
hackers;470006;PMBot v0.1;0
hackers;799499;NukedX's Bot;0
Иногда работникам влом лезть в БД icq, и они поверяют примаки номеров по боту S3TUP'а. %)
2)Могут, но чаще всего хорошенькие номера не долго задерживаются в чужих руках.
3)Возможно, и случается это довольно часто. Но бывает и наоборот.
По данному списку, можно сверять свои пятерки, админские они или нет. И например, если пятизнак подходит под группу Ex-ICQ, что значит человек уже не работает на мирабилис, то много шансов, что этот номерок осядет у вас надолго.
PS: Крайне не советую вам стучать в данные номерки и чего либо просить, минимум отделаетесь игнором;)
7.Как привязать пятизнак к мылу?
До недавнего времени считалось, что у пятизнаков не может быть примари-мейла и восстановить пароль от пятизнака невозможно. Однако теперь это стало возможно при помощи локализованных версий аськи, таких как например “Rambler-ICQ” (версий много, но используем русскую, роднее=)). И так, расскажу всё по порядку, для начала идём на официальную страничку: http://icq.rambler.ru/ где лицезреем скрин с красивым номером 10110( думаю вряд ли он у них есть ) , а справа от него видим предложение скачать Rambler-ICQ, что мы и делаем. Скачав и установив программу, смело запускаем и видим предложение ввести номер ICQ и пароль, логинимся со своим пятизнаком, который желаем привязать к мылу. Открывается окошко регистрации в котором нам предлагают либо ввести свой логин на рамблере , если такой имеется, либо зарегистрировать новый. В целях безопасности я всё же рекомендую зарегистрировать новый ящик, который никому не будет известен, так как именно он будет привязан к нашему пятизнаку. На следущем этапе нам предлагают ввести пароль и секретный вопрос с ответом на него , пароль на нашем пятизнаке изменится на пас от мыла. Так что вводим либо свой действующий пароль, либо что-то более изощрённое чем “qwerty” ;)После чего наконец логинимся в номер бережно записав перед этим адрес привязанного мыла в блокнотик. Всё, на этом процедура привязки завершена.Что бы восстановить пароль от своего пятизнака, идём на страничку http://id.rambler.ru/script/reminder.cgi , вводим логин своей почты на рамблере, которую привязали к пятизнаку, после чего отвечаем на свой секретный вопрос и устанавливаем новый пароль. Пароль на нашем пятизнаке соответственно тоже меняется.
Данная система применяется не только к пятизнакам, просто описано, как факт. Так же в следствии этой фичи, появилось много риперов, которые продавая 5диги за копейки, возвращали их обратно с помощью этого метода. Поэтому хочу рассказать, как узнать привязан ли номер icq. Достаточно глянуть инфу номера в клиенте QIP(wwwqip.ru) на вкладке «Дополнительно» окошка «Информация» и если мы там видим вот такую запись:
То это означает, что номер привязан.
Если номер привязан, например к nana.co.il, то отвязать первичный емаил можно перепривязав его к другому мылу того же nana.co.il. Ну и соответственно рамблер режется рамблером.
8. HTML инъекция на страницах icq.com
Как и многие программы мгновенных сообщений, Интернет-клиент icq не лишена своих различных недочетов и уязвимостей. Сейчас я вам поведаю о свеженькой баге в WHITE PAGES icq, благодаря которой, Вы сможете заиметь практически любой понравившийся UIN (icq номер).
Итак, толчком для исследований стала нашумевшая новость автора популярного альтернативного Интернет-пейджера qip (qip.ru). Inf сообщил о том, что его UIN, каким-то образом, "привязали" к локализованному e-mail без его ведома. И поэтому inf'ом досрочно была выпущена новая альфа-версия icq-клиента qip, с помощью которой стало возможным конкретно узнать, к какому локализованному e-mail адресу "привязан" или "не привязан" Ваш Элитный номерок. Данная новость заинтересовала гуру icq-хакинга под ником ТурисТ (Алексей Шакиров) и он вспомнил, о том, что зимой этого года копаясь в HTML-кодах web-ресурсов icq.com, нашел там интересные строки - <input type="hidden" id="uin" name="uin" value="target uin" и пытался при помощи банальной подмены номера получить на свой e-mail его пароль.
В итоге докопаться до истины оказалось легко, а позже он поделился ею со мной. Суть бага, к великому сожалению, оказалась примитивной.
Итак, опишу пошаговые действия, которые Вам нас интересуют:
- Во-первых, нам необходимо дать понять серверу, что мы - друг и нашим первым шагом станет удачный логин на страничке wwwicq.com. Для этого нам потребуется любой UIN (номерок icq) и правильный пароль от него. Если быть конкретней, то нужно зайти на https://www.icq.com/register/email_attach.php и сделать удачный логин. Далее вбиваем в адресную строку нашего браузера https://www.icq.com/register/email_attach_step2.php и жмем заветный Enter.
(Друг! Перед тем как нажать Enter подумай - какой могущественной силой обладает данная кнопка)
- Вторым шагом будет сохранение странички к себе на винчестер. Для этого выбери в меню браузера File - Save As и сохрани страничку локально.
- Действие третье, как уже упоминалось выше, - это простая подмена понятий, а именно нам необходимо отредактировать сохраненную страничку.
Итак, открываем HTML-код сохраненной паги в блокноте (правый клик Мыша по файлу - Открыть с помощью - NOTEPAD) и далее при помощи поиска (Ctrl + H, найти и заменить) находим тот номер icq c которым мы "прилогинились". Т.е. ищем строку <input type="hidden" id="uin" name="uin" value="ВАШ УИН С КОТОРЫМ Вы СДЕЛАЛИ УДАЧНЫЙ ЛОГИН"> и в этой строке заменяем ваш UIN, на UIN который хотим заполучить, сохраняем весь этот HTML-"фарш". Также нам придется найти и заменить строки "email_attach_step2.php" на https://www.icq.com/register/email_attach_step2.php
Делается это для снятия "локальности" нашего нового HTML-кода. Сделано? Теперь браузер будет видеть страницу не как локальную… =)
И в чем тут замес? Спросите вы… =) Теперь необходимо сделать самое главное:
- Открываем страничку с новым кодом (браузером канечно)
- В поле пароль вписываем пароль от старого UIN, с котором мы совершили удачный ЛОГИН.
- Вписываем в поле e-mail Ваш или свежезарегистрированный e-mail адрес.
- Жамкаем пимпу "SUBMIT"
Если вы внимательно все прочитали и проделали все действия без ошибок, то на экране монитора мы увидим…
Теперь все просто и понятно - на наш почтовый адрес падает письмо с конфирм-кодом от icq team в котором будет написано, что-то вроде этого:
Привет! Твой номерок 54321… желаете подтвердить регистрацию e-mail attachmend? Тогда нажмите на URL из нашего письма.
А вот что произойдет после того как ты нажмешь URL из письма - увидеть сможешь только ты.
Здесь описана только поверхностная сторона новой баги и во избежание повального угона номеров (привет баг на BIGFOOT.COM) я не стану говорить, о том, как полностью взять контроль над конкретным номером и о том какие номера были захвачены, в результате проведения экспериментов. На сегодняшний день найденная уязвимость уже отнесена к разряду критических, ведь с ее помощью можно "наломать дров". Поэтому было принято решение немедленно осведомить работников компании Mirabilis, которые в свою очередь "оперативно" фиксят HTML-код своих web-ресурсов. Но как всегда не до конца... =)