[MASOCH-L] Phishing NetFlix

Leandro leandro at allchemistry.com.br
Thu Jan 11 11:35:24 -02 2018


Vinícius. Também pensei o mesmo, e até tentei mudar os parâmetros antes, 
sem sucesso.

Para demonstrar o que estou falando, veja o mesmo comando seu aqui no 
meu host:

    ubuntu at mx-br:~$ curl -v 'http://pallas.localbox.org/aswe.php' -H
    'Accept:
    text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8'
    -H 'Connection: keep-alive' -H 'Accept-Encoding: gzip, deflate' -H
    'Accept-Language: en-US,en;q=0.9' -H 'Upgrade-Insecure-Requests: 1'
    -H 'User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
    (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36' --compressed
    * Hostname was NOT found in DNS cache
    *   Trying 186.221.160.126...
    * Connected to pallas.localbox.org (186.221.160.126) port 80 (#0)
     > GET /aswe.php HTTP/1.1
     > Host: pallas.localbox.org
     > Accept:
    text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
     > Connection: keep-alive
     > Accept-Encoding: gzip, deflate
     > Accept-Language: en-US,en;q=0.9
     > Upgrade-Insecure-Requests: 1
     > User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36
    (KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36
     >
    < HTTP/1.1 302 Found
    < Date: Thu, 11 Jan 2018 13:30:34 GMT
    * Server Apache is not blacklisted
    < Server: Apache
    < Location: http://www.netflix.com
    < Content-Length: 0
    < Keep-Alive: timeout=15, max=100
    < Connection: Keep-Alive
    < Content-Type: text/html; charset=UTF-8
    <
    * Connection #0 to host pallas.localbox.org left intact

Faço a menor ideia do que é isso. Será que o PHP dele está filtrando por 
range de IP de origem também? Era só o que faltava.

Leandro Carlos Rodrigues
TI All Chemistry do Brasil
(11) 3014-7190 (das 8h às 12h)

Em 11/01/2018 11:19, Vinícius Santana escreveu:
> Aparenta ser mesmo os parâmetros da requisição. User-agent talvez?
>
> Se fizer uma request mais completa, o redirecionamento é o mesmo que você
> encontrou no Firefox:
>
> curl -v 'http://pallas.localbox.org/aswe.php' -H 'Accept:
> text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8'
> -H 'Connection: keep-alive' -H 'Accept-Encoding: gzip, deflate' -H
> 'Accept-Language: en-US,en;q=0.9' -H 'Upgrade-Insecure-Requests: 1' -H
> 'User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,
> like Gecko) Chrome/63.0.3239.132 Safari/537.36' --compressed
>
>
>
> *   Trying 186.221.160.126...
> * Connected to pallas.localbox.org (186.221.160.126) port 80 (#0)
>> GET /aswe.php HTTP/1.1
>> Host: pallas.localbox.org
>> Accept:
> text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
>> Connection: keep-alive
>> Accept-Encoding: gzip, deflate
>> Accept-Language: en-US,en;q=0.9
>> Upgrade-Insecure-Requests: 1
>> User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,
> like Gecko) Chrome/63.0.3239.132 Safari/537.36
> < HTTP/1.1 302 Found
> < Date: Thu, 11 Jan 2018 13:17:47 GMT
> < Server: Apache
> < Location: *./netflixPT/?577=/SSL/zichehosso/Versao/=577*
> < Content-Length: 0
> < Keep-Alive: timeout=15, max=100
> < Connection: Keep-Alive
> < Content-Type: text/html; charset=UTF-8
> <
> * Connection #0 to host pallas.localbox.org left intact
>
>
> Em 11 de janeiro de 2018 11:01, Leandro <leandro at allchemistry.com.br>
> escreveu:
>
>> Pessoal,
>>
>> Estou estudando uma nova fraude do NetFlix e estou quebrando a cabeça aqui
>> para descobrir uma inconsistência de redirecionamento:
>>
>>     http://pallas.localbox.org/aswe.php
>>
>> Olhando os cabeçalhos HTTP, percebam que no Firefox ele retorna o Location
>> de uma subpasta local do mesmo host:
>>
>>     https://prnt.sc/hyz3by
>>
>> Porém, quando tento puxar os cabeçalhos pelo curl, retorna Location
>> externo para o site do NetFlix:
>>
>>     ubuntu at mx-br:~$ curl -I http://pallas.localbox.org/aswe.php
>>     HTTP/1.1 302 Found
>>     Date: Thu, 11 Jan 2018 12:56:48 GMT
>>     Server: Apache
>>     Location: http://www.netflix.com
>>     Content-Type: text/html; charset=UTF-8
>>
>> Rapaz, eu faço a menor ideia do que está rolando. :-(
>>
>> Alguém consegue me ajudar a descobrir o que causa essa mudança do Location
>> de FireFox para curl? Parâmetros de request header talvez?
>>
>> --
>> Leandro Carlos Rodrigues
>> TI All Chemistry do Brasil
>> (11) 3014-7190 (das 8h às 12h)
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l



More information about the masoch-l mailing list