cơ chế lưu pass của yahoo 11.x

English | Vietnamese

Rules

Main Forum

Portal

Member Listing

Statistics

Search

Reading Room
[Register]

Login [ | https ]

Forum Index

Thảo luận bảo mật

cơ chế lưu pass của yahoo 11.x

[Discussion] cơ chế lưu pass của yahoo 11.x	04/04/2012 00:50:43 (+0700) \| #1 \| 260773

vjru5zl0v3
Member

Joined: 13/10/2007 16:17:21
Messages: 13
Offline

mình mới thử con xpass v2.2 để xem nó ntn
mình log out luôn Y!M ra, sử dụng xpass để soi thử, thấy ký tự nó capture đc chỉ là 'password' (mặc dù password của mình là abc****)
sau đó mình xóa đi, nhập lại id và pass, chưa vội đăng nhập mà sử dụng xpass soi thì nó soi đc đúng pass của mình là abc****
đăng nhập vào và log out luôn, soi thử, lại vẫn đúng là đoạn abc****
thoát hoàn toàn Y!M (thoát cả ở tray, và vẫn để remember trước đó) bật lên, soi lại thì thấy password lưu lại trở về thành đoạn 'password', đăng nhập vẫn đc
thử xóa pass dưới đi, nhập từ password vào ô password và đăng nhập, thì nó báo fail
vậy yahoo nó sử dụng cơ chế lưu ntn mà có thể làm đc như vậy
và nếu dựa theo hướng này liệu sẽ có thể có cách vào đc nick Y!M của bất cứ ai đã từng remember trên máy hay ko?

[Discussion] cơ chế lưu pass của yahoo 11.x	05/04/2012 22:27:03 (+0700) \| #2 \| 260881

likiwi
Member

Joined: 16/12/2011 07:43:05
Messages: 1
Offline

thía mới là chuyện ! ko phải bỗng nhiên mà yahoo lại nổi tiếng thía đâu bạn à !

[Discussion] cơ chế lưu pass của yahoo 11.x	05/04/2012 23:45:52 (+0700) \| #3 \| 260889

n2tforever
Member

Joined: 01/07/2011 15:39:51
Messages: 92
Offline

khi YM được thiết lập chế độ lưu password thì khi người dùng đăng nhập thanh công nó sẽ dùng một thuật toán băm cái pass thành một chuỗi hằm bà lằng và lưu vào registry. Sau đó khi chương trình yahoo được bật lên trước tiên nó sẽ kiểm tra xem chế độ lưu pass có được bật không?, nếu được bật thì nó tạo một cái pass giả nội dung là "password" rồi ghi vào form đăng nhập, bây giờ có hai trường hợp:
1.nếu người dùng nhập pass vào: yahoo nó sẽ băm cái pass vừa nhập này thành chuỗi hầm bà lằng và gửi lên sever để xác thực
2.nếu người dùng không làm gì và ấn sign in: yahoo nó lấy cái chuỗi hầm bà lằng đã lưu trong registry trước đó và gửi lên sever để xác thực

cơ bản là như vậy

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 08:24:52 (+0700) \| #4 \| 260900

n3RdSeK
Member

Joined: 01/04/2012 08:02:43
Messages: 5
Location: >pwd
Offline

Bạn có thể cho mình biết nó lưu cái chuỗi "hằm bà lằng" đó ở chỗ nào trong registry không?!? Mình muốn xem cái đó nó như thế nào. smilie

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 10:07:59 (+0700) \| #5 \| 260905

n2tforever
Member

Joined: 01/07/2011 15:39:51
Messages: 92
Offline

n3RdSeK wrote:

Bạn có thể cho mình biết nó lưu cái chuỗi "hằm bà lằng" đó ở chỗ nào trong registry không?!? Mình muốn xem cái đó nó như thế nào.

HKEY_CURRENT_UER\software\yahoo\pager\ETS
cái ETS này không phải là chuỗi được gửi đến sever để xác thực,chuỗi được dùng để xác thực được tính dựa vào các tham số:
1. ETS
2. username
3. salt (hình như là MS sucks không nhớ lắm smilie

)

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 10:28:25 (+0700) \| #6 \| 260906

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

n2tforever wrote:

n3RdSeK wrote:

Bạn có thể cho mình biết nó lưu cái chuỗi "hằm bà lằng" đó ở chỗ nào trong registry không?!? Mình muốn xem cái đó nó như thế nào.

HKEY_CURRENT_UER\software\yahoo\pager\ETS
cái ETS này không phải là chuỗi được gửi đến sever để xác thực,chuỗi được dùng để xác thực được tính dựa vào các tham số:
1. ETS
2. username
3. salt (hình như là MS sucks không nhớ lắm )

salt là MBCS sucks.

Kiểm tra các file bạn nghi ngờ có virus:
http://goo.gl/m3Fb6C
http://goo.gl/EqaZt
http://goo.gl/gEF8e
Nhận mẫu virus qua FB: http://goo.gl/70Xo23
HVA Malware Response Team: kiemtravirus@gmail.com
Trợ giúp diệt virus: http://goo.gl/2bqxY

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 10:49:43 (+0700) \| #7 \| 260907

BlueMM
Member

Joined: 14/02/2012 05:11:33
Messages: 28
Offline

Pass của yahoo được lưu trong registry, theo mình nó dùng thuật toán mã hoá bất đối xứng. Do đó ta không thể "crack" được nếu không có private key của Yahoo

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 11:24:15 (+0700) \| #8 \| 260910

n3RdSeK
Member

Joined: 01/04/2012 08:02:43
Messages: 5
Location: >pwd
Offline

Mình có thắc mắc thế này:
Giả sử máy mình và máy của victim dùng cùng một phiên bản yahoo. Mình có cơ hội lấy được file HKEY_CURRENT_UER\software\yahoo\pager\ETS rồi replace vào đúng chỗ để file ETS trên máy mình. Vậy mình có thể dùng Yahoo ID của victim để đăng nhập mà không cần biết password của ID đó là gì?!?

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 11:44:23 (+0700) \| #9 \| 260911

n2tforever
Member

Joined: 01/07/2011 15:39:51
Messages: 92
Offline

n3RdSeK wrote:

Mình có thắc mắc thế này:
Giả sử máy mình và máy của victim dùng cùng một phiên bản yahoo. Mình có cơ hội lấy được file HKEY_CURRENT_UER\software\yahoo\pager\ETS rồi replace vào đúng chỗ để file ETS trên máy mình. Vậy mình có thể dùng Yahoo ID của victim để đăng nhập mà không cần biết password của ID đó là gì?!?

bồ mở máy lên test thử xem smilie

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 13:02:30 (+0700) \| #10 \| 260915

n3RdSeK
Member

Joined: 01/04/2012 08:02:43
Messages: 5
Location: >pwd
Offline

Mình đã thử và xác nhận là "Okay!".

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 13:25:12 (+0700) \| #11 \| 260916

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

BlueMM wrote:

Pass của yahoo được lưu trong registry, theo mình nó dùng thuật toán mã hoá bất đối xứng. Do đó ta không thể "crack" được nếu không có private key của Yahoo

Không đúng đâu, từ Yahoo Messenger 7.5 trở đi thì password Yahoo! của user không được lưu trong registry mà có thông tin dùng để xác thực khác được lưu trong registry ở dạng đã được mã hóa. Thông tin được Yahoo! dùng để xác thực thì được mã hóa đối xứng rồi lưu lại trong registry.

[Discussion] cơ chế lưu pass của yahoo 11.x	06/04/2012 13:33:39 (+0700) \| #12 \| 260917

bolzano_1989
Journalist

Joined: 30/01/2007 12:49:15
Messages: 1406
Offline

n3RdSeK wrote:

Mình đã thử và xác nhận là "Okay!".

Cái này mình và bạn kamikazeq/khaiabc đã phát hiện từ lâu trong năm 2010 nhưng giữ bí mật smilie

.
Đây là dạng Pass the Hash Attack đối với Yahoo! Messenger, nếu bạn có theo dõi blog của anh rongchaua thì sẽ thấy anh rongchaua đã công bố tấn công này ở blog của anh ấy từ tháng 1/2011 rồi, nhưng tựa đề bài viết của anh ấy có lỗi chính tả "Security – Pass hack attack for Yahoo Messenger":

Rongchaua's blog » Security – Pass hack attack for Yahoo Messenger
http://rongchaua.net/blog/security-pass-hack-attack-for-yahoo-messenger/

[Discussion] cơ chế lưu pass của yahoo 11.x	18/04/2012 22:11:30 (+0700) \| #13 \| 261670

sparrowvn
Member

Joined: 12/03/2012 21:21:05
Messages: 12
Offline

Kiểu giữ pass hash của yahoo này đã tồn tại từ ngày yahoo dùng cơ chế́ remember. Người sử dụng cách này đầu tiên mà tôi biết là khoảng năm 2006-2007 và có tool release khoảng 2008

Test lỗ hổng web : http://iwast.securitas.com.vn

[Discussion] cơ chế lưu pass của yahoo 11.x	20/04/2012 17:23:51 (+0700) \| #14 \| 261768

Mahoa
Member

Joined: 06/07/2006 20:39:38
Messages: 56
Offline

Mình đã kiểm tra lại, kỹ thuật trên không còn có tác dụng đối với Yahoo 11.5.0.192

Mình áp dụng trên chính máy mình thì đc, còn lấy file .reg từ máy victim sau đó chèn vào máy mình thì không có tác dụng nữa.

Trước giờ mình vẫn dùng cách này để đăng nhập, mình làm biếng đánh mật khẩu, vì mình dùng nhiều nick Yahoo, mỗi nick mỗi mật khẩu, dài ... làm biếng đánh, nên mình tạo nhiều file reg và muốn vào nick nào thì click vào file .reg nick đó.

Hehe

[Discussion] cơ chế lưu pass của yahoo 11.x	13/07/2012 11:48:47 (+0700) \| #15 \| 266681

soujiro_seta
Member

Joined: 27/08/2004 15:11:33
Messages: 1
Offline

Cái này mình mới đọc được, chuơng trình phục hồi password của Wondershare: http://www.wondershare.com/disk-utility/yahoo-mail-password-cracker.html
Tiếc là mình chưa tìm được crack để thử.

[Discussion] cơ chế lưu pass của yahoo 11.x	13/07/2012 22:33:47 (+0700) \| #16 \| 266741

skidubai
Member

Joined: 24/11/2011 02:15:27
Messages: 13
Offline

Con này dùng trên môi trường IE khá hữu dụng.

[Discussion] cơ chế lưu pass của yahoo 11.x	21/07/2012 10:20:39 (+0700) \| #17 \| 267233

ZeroKull
Member

Joined: 02/01/2012 23:44:50
Messages: 1
Offline

sao mình vào cái HKEY_CURRENT_UER\software\yahoo\pager mà k thấy cái /ETC đâu nhỉ smilie

Go to:

Users currently in here
1 Anonymous