Suche

kochks · 01. 12. 2007, 20:59

Hi,
ich bin neu hier im Forum, drum freundliche Grüße an alle!! :^) ich habe hier viele ICQ 6 Threads gelesen, aslo dachte ich würde es hier ganz gut passen...
Ich möchte auch sofort ein Video Tutorial präsentieren, das ein Freund von mir gemacht hat und es geht um eine SELBST GEFUNDENE (also ZERO DAY) Lücke in dem neusten ICQ 6 die einem erlaubt HTML auszuführen und Internet Explorerer Exploits auszuführen!

http://video.google.de/videoplay?doc...94088697568438

Seid gewarnt! :^) Have fun!

Greetings

tankard666 · 01. 12. 2007, 21:42

deleted fghhghgfhgfhgf

the_artist · 01. 12. 2007, 23:04

Zitat:

Zitat von tankard666

aber welcher client ist das mit dem man den namen da ändern kann ?

Ließ doch was im Video steht. Es ist Miranda IM.

Xalvi · 01. 12. 2007, 23:36

Woher bekomme ich das PlugIn für miranda?

clapper · 02. 12. 2007, 00:13

wüsst ich auch gern

235trauma235 · 02. 12. 2007, 02:33

Oh mann leutz wie wollt ihr das hinbekommen wenn ihr noch nicht mal das plugin findet?

http://miranda-im.de/mediawiki/index...tle=Plugin:ICQ

und hier ICQ+ für diejenigen die es dann immer noch nicht finden.

greetz

tankard666 · 02. 12. 2007, 17:18

ghhjghjghjghjghjhjgjghjgjhghjghjgjg

c64er · 03. 12. 2007, 09:46

Haben damals schon in der icq 5.1er version mit flash ganz eigene "tzers" gebaut und die leute verascht. aber das das in der 6er immer noch geht ... krass. bzw. das sich codes direkt in miranda incl. icq+ eingeben und ausführen lassen war mir neu.
die tzers liegen auf dem icq server, aber das spielt keine rolle, da man die animationen auch auf nen anderen server legen kann. geil sind tzers, die über den ganzen bildschirm gehen und zeitlich so eingestellt sind, dass sie nicht wieder verschwinden :-) jetzt fehlt nur noch ein spammer-tool, um massenhaft tzers zu versenden.

Aber lassen wir das lieber

Greetz
c64er

fleXyle · 03. 12. 2007, 18:29

Welche Version von Miranda IM braucht man dafür? Hab die Plugins geladen, funzt aber nich, es passiert einfach nix beim "Opfer"

. Weiß vllt. jemand warum?

westberliner · 03. 12. 2007, 19:38

Nice, gleich mal antesten...

narfu · 04. 12. 2007, 13:17

hi,
ist es irgendwie möglich mittels dieser schwachstelle einen sound abzuspielen (*.mp3) bzw einen stream (quicktime rtsp)?

ich hatte es mit embed und javascript versucht, aber leider ist javascrpt standartmässig deaktiviert,. gibts da vlt noch ne andere möglichkeit?

mfg

killerriper · 04. 12. 2007, 16:03

Zitat:

Zitat von fleXyle

Welche Version von Miranda IM braucht man dafür? Hab die Plugins geladen, funzt aber nich, es passiert einfach nix beim "Opfer"

. Weiß vllt. jemand warum?

bei mir auch nichts: html geht, bilder werden auch gesendet, aber bei

Code:

<style>#page div p:first-child:first-letter{border-bottom: 2px redge;}</style><divid='page'><div><p><strong>a

passiert nichts

Phunsoldier · 15. 12. 2007, 18:55

Denke das wurde fix gefixt^^

Eingabefelder usw gehen auch nicht mehr...

Phunny

15. 12. 2007, 19:39

Nix gefixxt, der Exploit aus dem Video ist ein DoS für den Internet Explorer 6.0 SP 2.

Dass dank Windows Update mittlerweile die meisten den Internet Explorer 7.0 nutzen scheint hier keiner zu peilen und für den kenne ich leider keine DoSs.

Was viel interissanter ist ist die Frage, ob man per Webcode einen Download starten kann? Zum Beispiel in den Autostart Ordner ...

Auch sollte man wissen, dass man keine " " verwenden darf, sondern nur ' '

Phunsoldier · 15. 12. 2007, 19:58

Zitat:

Zitat von Joanie

Nix gefixxt, der Exploit aus dem Video ist ein DoS für den Internet Explorer 6.0 SP 2.

Dass dank Windows Update mittlerweile die meisten den Internet Explorer 7.0 nutzen scheint hier keiner zu peilen und für den kenne ich leider keine DoSs.

Was viel interissanter ist ist die Frage, ob man per Webcode einen Download starten kann? Zum Beispiel in den Autostart Ordner ...

[...]

Ich hab keinen Internet Explorer 7 uns trotzdem funktioniert das mit dem Exploit nicht. Bilder werden zwar angezeigt aber dann hörts auf. Eingabefelder gehen auch nicht.

Das Exploit muss man auch erstmal so bearbeiten, dass alles in einer Zeile steht, weil sonst nur die oberste Zeile übernommen wird und nicht wie im Video alles...

Wäre nett, wenn du mir kurz erläutern könntest, ob es bei dir geklappt hat und falls ja wie!

Phunny

15. 12. 2007, 23:48

Hat 1a bei mir funktioniert,

Habe auch nur den IE 6.0, also auf milw0rm.com gegangen, mir nen schönen DoS rausgesucht, " " durch ' ' ersetzt (wichtig!), mir mal eben icq 6 installiert und nen account erstellt, eingeloggt, mich geaddet, den Teazer inkl exploit als Bezeichnung geschickt und schon war mein ICQ 6 abgestürzt.

Mehr als nen DoS hab ich aber auch nicht hingekriegt.

Phunsoldier · 16. 12. 2007, 14:35

Hast du das erst so umgeschrieben, dass alles in einer zeile steht? Wenn ich nämlich das Exploit kopiere, wird nur die erste zeile angezeigt...

Phunny

-=Phrozen=- · 16. 12. 2007, 19:44

Ja man muss es abändern damit alles in einer zeile steht...

Bei mir funktioniert aber auch nur das anzeigen von Bilder.
Expl. bekomm ich nicht ausgeführt...

Naja trotzdem lustig *g*

kickzz · 17. 12. 2007, 16:26

Habs auchma probiert,aber bei den Leuten die IE6 hatten hat sich nur irgendwie das Chatfenster zwischen ihnen-mir aufgehangen ,also sie konnten nichtsmehr lesen in dem Fenster.Aber ICQ selbst hat sich nicht aufgehängt.

baumi_da_phreac · 31. 12. 2007, 16:15

Ganz schön übel, was man damit alles anstellen kann, siehe Anhang!

freak0711 · 01. 01. 2008, 15:36

echt nicht schlecht, funktioniert super

Hab mal n paar neujahrsgrüße per bild verschickt, das hat effekt ^^

freak0711 · 01. 01. 2008, 16:47

Hallo gibts noch exploits die funktionieren oder ist das alles schon wieder gefixxtr was bei milw0rm drinne steht? Funzt nämlich alles nicht

<Lessi> · 01. 01. 2008, 20:13

Bei mir funzt alles noch...ich hab jetzt nicht so die html Kenntnisse,aber KÖNNTE man auch eine flash-animation laufen lassen (außer die vorgegebenen) oder ein youtube video einbauen?

Ich find es einfach nur interessant wie leichtes oftmals ist....

Mues_lee · 01. 01. 2008, 21:28

Ja das geht, allerdings brauchst du dafür den Code der gesendet wird um bei dem gegenüber einen Tzers zu erzeugen. Tzers sind ja auch nur Flash Animationen. Dann nimmst du einfach die URL zu dem Tzers raus, der erzeugt werden würde und fügst dort die URL der Flash Animation ein die stattdessen abspielen soll. Dann schickst du das dem gegenüber und fertig

Allerdings weiss ich den Code nichtmehr für die Tzers, aber irgendjemand hier im Board wird ihn bestimmt noch wissen

Das schöne bei diesem verfahren ist ja auch noch, das die Animation dann dirket auf dem ganzen Bildschirm abgespielt wird, wie ein Tzers halt auch.

01. 01. 2008, 22:01

erledigt

01. 12. 2007, 23:36	# 4
Xalvi Mitglied Registriert seit: Dec 2005 Beiträge: 38	Re: ICQ 6 HTML Zero Day Lücke Woher bekomme ich das PlugIn für miranda?

02. 12. 2007, 00:13	# 5
clapper 4 Jahre hier Registriert seit: Mar 2006 Beiträge: 5.326	Re: ICQ 6 HTML Zero Day Lücke wüsst ich auch gern

02. 12. 2007, 02:33	# 6
235trauma235 netstat -banvo Registriert seit: Sep 2006 Beiträge: 1.644	Re: ICQ 6 HTML Zero Day Lücke Oh mann leutz wie wollt ihr das hinbekommen wenn ihr noch nicht mal das plugin findet? http://miranda-im.de/mediawiki/index...tle=Plugin:ICQ und hier ICQ+ für diejenigen die es dann immer noch nicht finden. greetz Bye Bye.

02. 12. 2007, 17:18	# 7
tankard666 mit Glied Registriert seit: Jun 2006 Beiträge: 712	Re: ICQ 6 HTML Zero Day Lücke ghhjghjghjghjghjhjgjghjgjhghjghjgjg Geändert von tankard666 (25. 12. 2007 um 22:02 Uhr)

03. 12. 2007, 09:46	# 8
c64er 8Bit Rulez Registriert seit: Mar 2006 Ort: Wird ermittelt Beiträge: 1.287	Re: ICQ 6 HTML Zero Day Lücke Haben damals schon in der icq 5.1er version mit flash ganz eigene "tzers" gebaut und die leute verascht. aber das das in der 6er immer noch geht ... krass. bzw. das sich codes direkt in miranda incl. icq+ eingeben und ausführen lassen war mir neu. die tzers liegen auf dem icq server, aber das spielt keine rolle, da man die animationen auch auf nen anderen server legen kann. geil sind tzers, die über den ganzen bildschirm gehen und zeitlich so eingestellt sind, dass sie nicht wieder verschwinden :-) jetzt fehlt nur noch ein spammer-tool, um massenhaft tzers zu versenden. Aber lassen wir das lieber Greetz c64er *Überlebender des großen Börsencrashs 11/08/08* 8-BIT TRIPRetro-Reise in die 80's

Suche

gulli:News

game:Tipps

01. 12. 2007, 20:59	# 1
kochks Mitglied Registriert seit: Dec 2007 Beiträge: 1	ICQ 6 HTML Zero Day Lücke Hi, ich bin neu hier im Forum, drum freundliche Grüße an alle!! :^) ich habe hier viele ICQ 6 Threads gelesen, aslo dachte ich würde es hier ganz gut passen... Ich möchte auch sofort ein Video Tutorial präsentieren, das ein Freund von mir gemacht hat und es geht um eine SELBST GEFUNDENE (also ZERO DAY) Lücke in dem neusten ICQ 6 die einem erlaubt HTML auszuführen und Internet Explorerer Exploits auszuführen! http://video.google.de/videoplay?doc...94088697568438 Seid gewarnt! :^) Have fun! Greetings

01. 12. 2007, 21:42	# 2
tankard666 mit Glied Registriert seit: Jun 2006 Beiträge: 712	Re: ICQ 6 HTML Zero Day Lücke deleted fghhghgfhgfhgf Geändert von tankard666 (25. 12. 2007 um 22:01 Uhr)

03. 12. 2007, 18:29	# 9
fleXyle Wise guy Registriert seit: Apr 2006 Beiträge: 613	Re: ICQ 6 HTML Zero Day Lücke Welche Version von Miranda IM braucht man dafür? Hab die Plugins geladen, funzt aber nich, es passiert einfach nix beim "Opfer" . Weiß vllt. jemand warum? 1312 GameStar 2010 Ohne Werbung [Dauerangebot]

03. 12. 2007, 19:38	# 10
westberliner ...fährt nun einen Benz! Registriert seit: Jan 2006 Ort: na,da wo ich wohne Beiträge: 5.789	Re: ICQ 6 HTML Zero Day Lücke Nice, gleich mal antesten... Es sind wohl die Tiefen des Lebens, die die Höhen so lebenswert machen... (auf Wunsch von DanVanDamn geändert) Cuz, westberliner

04. 12. 2007, 13:17	# 11
narfu Mitglied Registriert seit: Dec 2007 Beiträge: 1	Re: ICQ 6 HTML Zero Day Lücke hi, ist es irgendwie möglich mittels dieser schwachstelle einen sound abzuspielen (*.mp3) bzw einen stream (quicktime rtsp)? ich hatte es mit embed und javascript versucht, aber leider ist javascrpt standartmässig deaktiviert,. gibts da vlt noch ne andere möglichkeit? mfg

15. 12. 2007, 18:55	# 13
Phunsoldier Alles Banane Registriert seit: Dec 2005 Beiträge: 610	Re: ICQ 6 HTML Zero Day Lücke Denke das wurde fix gefixt^^ Eingabefelder usw gehen auch nicht mehr... Phunny Entschuldigung, aber du kannst nur alle 25 Sekunden eine neue Suche starten. Du musst noch 48 Sekunden warten, bevor du eine neue Suche starten kannst. (12.2.'07 - 22:07)

15. 12. 2007, 19:39	# 14
Joanie Gast Beiträge: n/a	Re: ICQ 6 HTML Zero Day Lücke Nix gefixxt, der Exploit aus dem Video ist ein DoS für den Internet Explorer 6.0 SP 2. Dass dank Windows Update mittlerweile die meisten den Internet Explorer 7.0 nutzen scheint hier keiner zu peilen und für den kenne ich leider keine DoSs. Was viel interissanter ist ist die Frage, ob man per Webcode einen Download starten kann? Zum Beispiel in den Autostart Ordner ... Auch sollte man wissen, dass man keine " " verwenden darf, sondern nur ' '

15. 12. 2007, 23:48	# 16
Joanie Gast Beiträge: n/a	Re: ICQ 6 HTML Zero Day Lücke Hat 1a bei mir funktioniert, Habe auch nur den IE 6.0, also auf milw0rm.com gegangen, mir nen schönen DoS rausgesucht, " " durch ' ' ersetzt (wichtig!), mir mal eben icq 6 installiert und nen account erstellt, eingeloggt, mich geaddet, den Teazer inkl exploit als Bezeichnung geschickt und schon war mein ICQ 6 abgestürzt. Mehr als nen DoS hab ich aber auch nicht hingekriegt.

16. 12. 2007, 14:35	# 17
Phunsoldier Alles Banane Registriert seit: Dec 2005 Beiträge: 610	Re: ICQ 6 HTML Zero Day Lücke Hast du das erst so umgeschrieben, dass alles in einer zeile steht? Wenn ich nämlich das Exploit kopiere, wird nur die erste zeile angezeigt... Phunny Entschuldigung, aber du kannst nur alle 25 Sekunden eine neue Suche starten. Du musst noch 48 Sekunden warten, bevor du eine neue Suche starten kannst. (12.2.'07 - 22:07)

16. 12. 2007, 19:44	# 18
-=Phrozen=- ★★★ Registriert seit: Aug 2000 Ort: hopäde Beiträge: 1.397	Re: ICQ 6 HTML Zero Day Lücke Ja man muss es abändern damit alles in einer zeile steht... Bei mir funktioniert aber auch nur das anzeigen von Bilder. Expl. bekomm ich nicht ausgeführt... Naja trotzdem lustig g Was meinen Sie als Außenstehender zum Thema Intelligenz?

17. 12. 2007, 16:26	# 19
kickzz Mitglied Registriert seit: Sep 2004 Beiträge: 409	Re: ICQ 6 HTML Zero Day Lücke Habs auchma probiert,aber bei den Leuten die IE6 hatten hat sich nur irgendwie das Chatfenster zwischen ihnen-mir aufgehangen ,also sie konnten nichtsmehr lesen in dem Fenster.Aber ICQ selbst hat sich nicht aufgehängt.

01. 01. 2008, 15:36	# 21
freak0711 Mitglied Registriert seit: Feb 2007 Beiträge: 439	Re: ICQ 6 HTML Zero Day Lücke echt nicht schlecht, funktioniert super Hab mal n paar neujahrsgrüße per bild verschickt, das hat effekt ^^

01. 01. 2008, 16:47	# 22
freak0711 Mitglied Registriert seit: Feb 2007 Beiträge: 439	Re: ICQ 6 HTML Zero Day Lücke Hallo gibts noch exploits die funktionieren oder ist das alles schon wieder gefixxtr was bei milw0rm drinne steht? Funzt nämlich alles nicht

01. 01. 2008, 20:13	# 23
<Lessi> Mitglied Registriert seit: Apr 2007 Beiträge: 388	Re: ICQ 6 HTML Zero Day Lücke Bei mir funzt alles noch...ich hab jetzt nicht so die html Kenntnisse,aber KÖNNTE man auch eine flash-animation laufen lassen (außer die vorgegebenen) oder ein youtube video einbauen? Ich find es einfach nur interessant wie leichtes oftmals ist....

01. 01. 2008, 21:28	# 24
Mues_lee Mitglied Registriert seit: Jul 2006 Beiträge: 174	Re: ICQ 6 HTML Zero Day Lücke Ja das geht, allerdings brauchst du dafür den Code der gesendet wird um bei dem gegenüber einen Tzers zu erzeugen. Tzers sind ja auch nur Flash Animationen. Dann nimmst du einfach die URL zu dem Tzers raus, der erzeugt werden würde und fügst dort die URL der Flash Animation ein die stattdessen abspielen soll. Dann schickst du das dem gegenüber und fertig Allerdings weiss ich den Code nichtmehr für die Tzers, aber irgendjemand hier im Board wird ihn bestimmt noch wissen Das schöne bei diesem verfahren ist ja auch noch, das die Animation dann dirket auf dem ganzen Bildschirm abgespielt wird, wie ein Tzers halt auch.

01. 01. 2008, 22:01	# 25
MeGeRA Gast Beiträge: n/a	Re: ICQ 6 HTML Zero Day Lücke erledigt Geändert von MeGeRA (01. 01. 2008 um 23:04 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen