|
|
|
|
|
|
Mitglied
Registrierungsdatum: Dec 2007
Beiträge: 1
|
ICQ 6 HTML Zero Day Lücke
Hi,
ich bin neu hier im Forum, drum freundliche Grüße an alle!! :^) ich habe hier viele ICQ 6 Threads gelesen, aslo dachte ich würde es hier ganz gut passen...
Ich möchte auch sofort ein Video Tutorial präsentieren, das ein Freund von mir gemacht hat und es geht um eine SELBST GEFUNDENE (also ZERO DAY) Lücke in dem neusten ICQ 6 die einem erlaubt HTML auszuführen und Internet Explorerer Exploits auszuführen!
http://video.google.de/videoplay?doc...94088697568438
Seid gewarnt! :^) Have fun!
Greetings
|
01. 12. 2007, 19:59
|
#1
|
|
mit Glied
Registrierungsdatum: Jun 2006
Beiträge: 710
|
Re: ICQ 6 HTML Zero Day Lücke
Geändert von tankard666 (25. 12. 2007 um 21:01 Uhr).
|
|
01. 12. 2007, 20:42
|
#2
|
|
mit Pint und Pegel
Registrierungsdatum: Dec 2004
Beiträge: 2.042
|
Re: ICQ 6 HTML Zero Day Lücke
Zitat:
|
Zitat von tankard666
aber welcher client ist das mit dem man den namen da ändern kann ?
|
Ließ doch was im Video steht. Es ist Miranda IM.
|
|
01. 12. 2007, 22:04
|
#3
|
|
Mitglied
Registrierungsdatum: Dec 2005
Beiträge: 33
|
Re: ICQ 6 HTML Zero Day Lücke
Woher bekomme ich das PlugIn für miranda?
|
|
01. 12. 2007, 22:36
|
#4
|
|
3 Jahre hier
Registrierungsdatum: Mar 2006
Ort: am hals der flasche
Beiträge: 5.013
|
Re: ICQ 6 HTML Zero Day Lücke
|
|
01. 12. 2007, 23:13
|
#5
|
|
netstat -banvo
Registrierungsdatum: Sep 2006
Beiträge: 1.638
|
Re: ICQ 6 HTML Zero Day Lücke
Oh mann leutz wie wollt ihr das hinbekommen wenn ihr noch nicht mal das plugin findet?
http://miranda-im.de/mediawiki/index...tle=Plugin:ICQ
und hier ICQ+ für diejenigen die es dann immer noch nicht finden.
greetz 
|
|
02. 12. 2007, 01:33
|
#6
|
|
mit Glied
Registrierungsdatum: Jun 2006
Beiträge: 710
|
Re: ICQ 6 HTML Zero Day Lücke
ghhjghjghjghjghjhjgjghjgjhghjghjgjg
Geändert von tankard666 (25. 12. 2007 um 21:02 Uhr).
|
|
02. 12. 2007, 16:18
|
#7
|
|
8Bit Rulez
Registrierungsdatum: Mar 2006
Ort: Wird ermittelt
Beiträge: 1.178
|
Re: ICQ 6 HTML Zero Day Lücke
Haben damals schon in der icq 5.1er version mit flash ganz eigene "tzers" gebaut und die leute verascht. aber das das in der 6er immer noch geht ... krass. bzw. das sich codes direkt in miranda incl. icq+ eingeben und ausführen lassen war mir neu.
die tzers liegen auf dem icq server, aber das spielt keine rolle, da man die animationen auch auf nen anderen server legen kann. geil sind tzers, die über den ganzen bildschirm gehen und zeitlich so eingestellt sind, dass sie nicht wieder verschwinden :-) jetzt fehlt nur noch ein spammer-tool, um massenhaft tzers zu versenden.  
Aber lassen wir das lieber 
Greetz
c64er
|
|
03. 12. 2007, 08:46
|
#8
|
|
Wise guy
Registrierungsdatum: Apr 2006
Beiträge: 574
|
Re: ICQ 6 HTML Zero Day Lücke
Welche Version von Miranda IM braucht man dafür? Hab die Plugins geladen, funzt aber nich, es passiert einfach nix beim "Opfer" . Weiß vllt. jemand warum?
|
|
03. 12. 2007, 17:29
|
#9
|
|
...fährt nun einen Benz!
Registrierungsdatum: Jan 2006
Ort: na,da wo ich wohne
Beiträge: 5.609
|
Re: ICQ 6 HTML Zero Day Lücke
Nice, gleich mal antesten... 
|
|
03. 12. 2007, 18:38
|
#10
|
|
Mitglied
Registrierungsdatum: Dec 2007
Beiträge: 1
|
Re: ICQ 6 HTML Zero Day Lücke
hi,
ist es irgendwie möglich mittels dieser schwachstelle einen sound abzuspielen (*.mp3) bzw einen stream (quicktime rtsp)?
ich hatte es mit embed und javascript versucht, aber leider ist javascrpt standartmässig deaktiviert,. gibts da vlt noch ne andere möglichkeit?
mfg
|
|
04. 12. 2007, 12:17
|
#11
|
|
Farbige Schrift
Registrierungsdatum: Apr 2007
Beiträge: 275
|
Re: ICQ 6 HTML Zero Day Lücke
Zitat:
|
Zitat von fleXyle
Welche Version von Miranda IM braucht man dafür? Hab die Plugins geladen, funzt aber nich, es passiert einfach nix beim "Opfer" . Weiß vllt. jemand warum? |
bei mir auch nichts: html geht, bilder werden auch gesendet, aber bei
Code:
<style>#page div p:first-child:first-letter{border-bottom: 2px redge;}</style><divid='page'><div><p><strong>a
passiert nichts
|
|
04. 12. 2007, 15:03
|
#12
|
|
Alles Banane
Registrierungsdatum: Dec 2005
Beiträge: 611
|
Re: ICQ 6 HTML Zero Day Lücke
Denke das wurde fix gefixt^^
Eingabefelder usw gehen auch nicht mehr...
Phunny
|
|
15. 12. 2007, 17:55
|
#13
|
|
Ist ein Blatt im Wind
Registrierungsdatum: May 2006
Beiträge: 527
|
Re: ICQ 6 HTML Zero Day Lücke
Nix gefixxt, der Exploit aus dem Video ist ein DoS für den Internet Explorer 6.0 SP 2.
Dass dank Windows Update mittlerweile die meisten den Internet Explorer 7.0 nutzen scheint hier keiner zu peilen und für den kenne ich leider keine DoSs.
Was viel interissanter ist ist die Frage, ob man per Webcode einen Download starten kann? Zum Beispiel in den Autostart Ordner ... 
Auch sollte man wissen, dass man keine " " verwenden darf, sondern nur ' '
|
|
15. 12. 2007, 18:39
|
#14
|
|
Alles Banane
Registrierungsdatum: Dec 2005
Beiträge: 611
|
Re: ICQ 6 HTML Zero Day Lücke
Zitat:
|
Zitat von Joanie
Nix gefixxt, der Exploit aus dem Video ist ein DoS für den Internet Explorer 6.0 SP 2.
Dass dank Windows Update mittlerweile die meisten den Internet Explorer 7.0 nutzen scheint hier keiner zu peilen und für den kenne ich leider keine DoSs.
Was viel interissanter ist ist die Frage, ob man per Webcode einen Download starten kann? Zum Beispiel in den Autostart Ordner ... [...] |
Ich hab keinen Internet Explorer 7 uns trotzdem funktioniert das mit dem Exploit nicht. Bilder werden zwar angezeigt aber dann hörts auf. Eingabefelder gehen auch nicht.
Das Exploit muss man auch erstmal so bearbeiten, dass alles in einer Zeile steht, weil sonst nur die oberste Zeile übernommen wird und nicht wie im Video alles...
Wäre nett, wenn du mir kurz erläutern könntest, ob es bei dir geklappt hat und falls ja wie!
Phunny
|
|
15. 12. 2007, 18:58
|
#15
|
|
Ist ein Blatt im Wind
Registrierungsdatum: May 2006
Beiträge: 527
|
Re: ICQ 6 HTML Zero Day Lücke
Hat 1a bei mir funktioniert,
Habe auch nur den IE 6.0, also auf milw0rm.com gegangen, mir nen schönen DoS rausgesucht, " " durch ' ' ersetzt (wichtig!), mir mal eben icq 6 installiert und nen account erstellt, eingeloggt, mich geaddet, den Teazer inkl exploit als Bezeichnung geschickt und schon war mein ICQ 6 abgestürzt.
Mehr als nen DoS hab ich aber auch nicht hingekriegt.
|
|
15. 12. 2007, 22:48
|
#16
|
|
Alles Banane
Registrierungsdatum: Dec 2005
Beiträge: 611
|
Re: ICQ 6 HTML Zero Day Lücke
Hast du das erst so umgeschrieben, dass alles in einer zeile steht? Wenn ich nämlich das Exploit kopiere, wird nur die erste zeile angezeigt...
Phunny
|
|
16. 12. 2007, 13:35
|
#17
|
|
★★★
Registrierungsdatum: Aug 2000
Ort: hopäde
Beiträge: 1.365
|
Re: ICQ 6 HTML Zero Day Lücke
Ja man muss es abändern damit alles in einer zeile steht...
Bei mir funktioniert aber auch nur das anzeigen von Bilder.
Expl. bekomm ich nicht ausgeführt...
Naja trotzdem lustig *g*
|
|
16. 12. 2007, 18:44
|
#18
|
|
Mitglied
Registrierungsdatum: Sep 2004
Beiträge: 342
|
Re: ICQ 6 HTML Zero Day Lücke
Habs auchma probiert,aber bei den Leuten die IE6 hatten hat sich nur irgendwie das Chatfenster zwischen ihnen-mir aufgehangen ,also sie konnten nichtsmehr lesen in dem Fenster.Aber ICQ selbst hat sich nicht aufgehängt.
|
|
17. 12. 2007, 15:26
|
#19
|
|
Mitglied
Registrierungsdatum: Oct 2005
Beiträge: 118
|
Re: ICQ 6 HTML Zero Day Lücke
Ganz schön übel, was man damit alles anstellen kann, siehe Anhang!
|
|
31. 12. 2007, 15:15
|
#20
|
|
Mitglied
Registrierungsdatum: Feb 2007
Beiträge: 414
|
Re: ICQ 6 HTML Zero Day Lücke
echt nicht schlecht, funktioniert super Hab mal n paar neujahrsgrüße per bild verschickt, das hat effekt ^^
|
|
01. 01. 2008, 14:36
|
#21
|
|
Mitglied
Registrierungsdatum: Feb 2007
Beiträge: 414
|
Re: ICQ 6 HTML Zero Day Lücke
Hallo gibts noch exploits die funktionieren oder ist das alles schon wieder gefixxtr was bei milw0rm drinne steht? Funzt nämlich alles nicht
|
|
01. 01. 2008, 15:47
|
#22
|
|
Mitglied
Registrierungsdatum: Apr 2007
Beiträge: 361
|
Re: ICQ 6 HTML Zero Day Lücke
Bei mir funzt alles noch...ich hab jetzt nicht so die html Kenntnisse,aber KÖNNTE man auch eine flash-animation laufen lassen (außer die vorgegebenen) oder ein youtube video einbauen?
Ich find es einfach nur interessant wie leichtes oftmals ist....
|
|
01. 01. 2008, 19:13
|
#23
|
|
Mitglied
Registrierungsdatum: Jul 2006
Beiträge: 173
|
Re: ICQ 6 HTML Zero Day Lücke
Ja das geht, allerdings brauchst du dafür den Code der gesendet wird um bei dem gegenüber einen Tzers zu erzeugen. Tzers sind ja auch nur Flash Animationen. Dann nimmst du einfach die URL zu dem Tzers raus, der erzeugt werden würde und fügst dort die URL der Flash Animation ein die stattdessen abspielen soll. Dann schickst du das dem gegenüber und fertig Allerdings weiss ich den Code nichtmehr für die Tzers, aber irgendjemand hier im Board wird ihn bestimmt noch wissen  Das schöne bei diesem verfahren ist ja auch noch, das die Animation dann dirket auf dem ganzen Bildschirm abgespielt wird, wie ein Tzers halt auch.
|
|
01. 01. 2008, 20:28
|
#24
|
|
Gast
|
Re: ICQ 6 HTML Zero Day Lücke
Geändert von MeGeRA (01. 01. 2008 um 22:04 Uhr).
|
|
01. 01. 2008, 21:01
|
#25
|
|
|
Alle Zeitangaben in UTC +1. Es ist jetzt 02:30 Uhr.
|
|
gulli news abonnieren
