[MASOCH-L] Phishing NetFlix
Leandro
leandro at allchemistry.com.br
Thu Jan 11 11:35:24 -03 2018
Vinícius. Também pensei o mesmo, e até tentei mudar os parâmetros antes,
sem sucesso.
Para demonstrar o que estou falando, veja o mesmo comando seu aqui no
meu host:
ubuntu at mx-br:~$ curl -v 'http://pallas.localbox.org/aswe.php' -H
'Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8'
-H 'Connection: keep-alive' -H 'Accept-Encoding: gzip, deflate' -H
'Accept-Language: en-US,en;q=0.9' -H 'Upgrade-Insecure-Requests: 1'
-H 'User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36' --compressed
* Hostname was NOT found in DNS cache
* Trying 186.221.160.126...
* Connected to pallas.localbox.org (186.221.160.126) port 80 (#0)
> GET /aswe.php HTTP/1.1
> Host: pallas.localbox.org
> Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
> Connection: keep-alive
> Accept-Encoding: gzip, deflate
> Accept-Language: en-US,en;q=0.9
> Upgrade-Insecure-Requests: 1
> User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
(KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
>
< HTTP/1.1 302 Found
< Date: Thu, 11 Jan 2018 13:30:34 GMT
* Server Apache is not blacklisted
< Server: Apache
< Location: http://www.netflix.com
< Content-Length: 0
< Keep-Alive: timeout=15, max=100
< Connection: Keep-Alive
< Content-Type: text/html; charset=UTF-8
<
* Connection #0 to host pallas.localbox.org left intact
Faço a menor ideia do que é isso. Será que o PHP dele está filtrando por
range de IP de origem também? Era só o que faltava.
Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7190 (das 8h às 12h)
Em 11/01/2018 11:19, Vinícius Santana escreveu:
> Aparenta ser mesmo os parâmetros da requisição. User-agent talvez?
>
> Se fizer uma request mais completa, o redirecionamento é o mesmo que você
> encontrou no Firefox:
>
> curl -v 'http://pallas.localbox.org/aswe.php' -H 'Accept:
> text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8'
> -H 'Connection: keep-alive' -H 'Accept-Encoding: gzip, deflate' -H
> 'Accept-Language: en-US,en;q=0.9' -H 'Upgrade-Insecure-Requests: 1' -H
> 'User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,
> like Gecko) Chrome/63.0.3239.132 Safari/537.36' --compressed
>
>
>
> * Trying 186.221.160.126...
> * Connected to pallas.localbox.org (186.221.160.126) port 80 (#0)
>> GET /aswe.php HTTP/1.1
>> Host: pallas.localbox.org
>> Accept:
> text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
>> Connection: keep-alive
>> Accept-Encoding: gzip, deflate
>> Accept-Language: en-US,en;q=0.9
>> Upgrade-Insecure-Requests: 1
>> User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,
> like Gecko) Chrome/63.0.3239.132 Safari/537.36
> < HTTP/1.1 302 Found
> < Date: Thu, 11 Jan 2018 13:17:47 GMT
> < Server: Apache
> < Location: *./netflixPT/?577=/SSL/zichehosso/Versao/=577*
> < Content-Length: 0
> < Keep-Alive: timeout=15, max=100
> < Connection: Keep-Alive
> < Content-Type: text/html; charset=UTF-8
> <
> * Connection #0 to host pallas.localbox.org left intact
>
>
> Em 11 de janeiro de 2018 11:01, Leandro <leandro at allchemistry.com.br>
> escreveu:
>
>> Pessoal,
>>
>> Estou estudando uma nova fraude do NetFlix e estou quebrando a cabeça aqui
>> para descobrir uma inconsistência de redirecionamento:
>>
>> http://pallas.localbox.org/aswe.php
>>
>> Olhando os cabeçalhos HTTP, percebam que no Firefox ele retorna o Location
>> de uma subpasta local do mesmo host:
>>
>> https://prnt.sc/hyz3by
>>
>> Porém, quando tento puxar os cabeçalhos pelo curl, retorna Location
>> externo para o site do NetFlix:
>>
>> ubuntu at mx-br:~$ curl -I http://pallas.localbox.org/aswe.php
>> HTTP/1.1 302 Found
>> Date: Thu, 11 Jan 2018 12:56:48 GMT
>> Server: Apache
>> Location: http://www.netflix.com
>> Content-Type: text/html; charset=UTF-8
>>
>> Rapaz, eu faço a menor ideia do que está rolando. :-(
>>
>> Alguém consegue me ajudar a descobrir o que causa essa mudança do Location
>> de FireFox para curl? Parâmetros de request header talvez?
>>
>> --
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7190 (das 8h às 12h)
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list