June 3, 2019

Обфускация ссылок

Рассмотрим методы позволяющие спрятать ссылку

HTTP авторизация

Служит для быстрой авторизации на сайтах и имеет вид http://username:password@site.com, мы же данный метод будем использовать в других целях, и вместо username:password вписываем какой нибудь сайт для отвода глаз, а вместо site.com уже нашу настоящую ссылку куда будет переход

Например при переходе по ссылке http://rambler.ru@yandex.ru мы попадём на сайт Яндекса, хотя в начале видно сайт Рамблера

Можно к примеру спрятать нашу ссылку под видом статьи, символ "/" под данный метод не подходит поэтому использовался похожий юникод символ "/"

http://weekend.rambler.ru/read/42108386-chto-gitler-hotel-sdelat-s-telom-lenina-posle-zahvata-moskvy@yandex.ru

Как видим, за длинной ссылкой скрывается сайт Яндекса

Сокращение ссылки

Тут думаю понятно, сокращаем необходимую ссылку через сайты-сокращатели ссылок: clck.ru, u.to, bit.ly, tinyurl.com, vk.cc, firebase.google.com (замена goo.gl)

Есть сайты где использование ссылок запрещено, и используются фильтры на популярные домены, для обхода фильтров можно использовать сокращатели с редкими доменами, например:

bit.do shr.name v.ht link.ac tiny.cc tr.im gg.gg hec.su llk.dk stutt.no cutt.us soo.gd as.tn
ja.num.to ujeb.se j.mp 4u.fyi lkn.li scry.in fifo.cc ity.im bl.ink 101.gs mtny.mobi db.tt 
qr.ae q.gs po.st bc.vc u.bb filoops.info 0.mk tw.gs mcaf.ee s.coop surl.wo.tc x.co ux.nu

Ссылка в документах

С появлением в браузерах поддержки открытия документов без скачивания (онлайн), стала актуальна рассылка документов, внутри которых находится ссылка

В основном используют pdf формат, реже pptx (ppt) и docx (doc)

Ссылка помещается внутри картинки/текста, при клике на ссылку-кнопку идёт переход на сайт

Редиректы

Очень много статей можно найти в интернете, что и как сделать редирект, пройдёмся по видам

Использование/вставка кода редиректа на домены (покупные, брошенки) и блоги (Blogger, Tumblr, Ucoz)

Использование бесплатных доменов .TK, .ML, .GA, .CF, .GQ (Freenom)

Использование сайтов-прокладок (telegra.ph, sites.google.com, mssg.me, taplink.ru, tapmy.bio, msto.me, sitelite.me, linktr.ee)

В случае с использованием сайта-прокладки чтобы перейти на сайт нужно совершить действие, в основном нажать на кнопку-ссылку

Использование Open Redirect уязвимости

Подробно написано тут xakep.ru (полная статья на телеграфе - telegra.ph)

Суть в использовании ссылок-перенаправлений куда можно подставить свой сайт

Возьмём к примеру популярное название перенаправления "go" которое встречается на многих сайтах - inurl:"/?go=http" + какое нибудь кодовое слово которое будет встречаться в выдаче (необязательно), допустим сайт Яндекса

Из полученной выдачи возьмём первую ссылку nkama-park.ru/go?http://api.yandex.ru/maps/tools/constructor

И вместо ссылки http://api.yandex.ru/maps/tools/constructor заменяем на любую другую, например http://news.rambler.ru

Если не стоит защита от подставки любых сайтов, что встречается редко, то нас перенаправит на наш сайт, в данном случае сайт Рамблера

Примеры поисковых запросов по которым можно найти ссылки-перенаправления

inurl:"&finaldestination=" inurl:".aspx?ReturnUrl=" inurl:"/?ac=links&go=" 
inurl:"/?api=redirect&url=" inurl:"/?go=" inurl:"/?goto=" 
inurl:"/?r=crossDomainAuth/passport&domain=" inurl:"/?url=" inurl:"/_linkout.pxp" 
inurl:"/adclick.php?" inurl:"/adlog.php?url=" inurl:"/adredir.asp?url=" inurl:"/adsavess?"
inurl:"/adserver.php?u=" inurl:"/Aggregator.ashx?url=" inurl:"/api/redirect/"
inurl:"/app/home/link.php?url=" inurl:"/appreciative-community/home/link.php?url="
inurl:"/apps/link.php?url=" inurl:"/articles/out?url=" inurl:"/as_site.php?u="
inurl:"/away.php?s=" inurl:"/away.php?to=" inurl:"/banner.php?link=" 
inurl:"/bbcodes/go.php?url=" inurl:"/book.php?pid=" inurl:"/cgi/out.cgi?" 
inurl:"/cgi-bin/crtr/out.cgi?" inurl:"/cgi-bin/go.pl?url="
inurl:"/cgi-bin/links/cougalinks.cgi?direct=" inurl:"/cgi-bin/nph-job.cgi?url="
inurl:"/cgi-bin/otsing?query=" inurl:"/cgi-bin/out.cgi?" inurl:"/cgi-bin/outlog.cgi?url="
inurl:"/cgi-bin/rb4/cout.cgi?url=" inurl:"/cgi-bin/redirect.cgi?url="
inurl:"/cgi-bin/redirect?url=" inurl:"/cgi-bin/ucj/c.cgi?url=" inurl:"/click.php?id="
inurl:"/click.php?url=" inurl:"/click/redirect.aspx?url=" inurl:"/click?_URL="
inurl:"/click?url=" inurl:"/clickcount.pl?url=" inurl:"/clickfeed.asp?url="
inurl:"/clickthrough.html?url=" inurl:"/clickthrough.php?url=" inurl:"/clickthru.cgi?id="
inurl:"/clickthru.php?url=" inurl:"/closetools.aspx?u=" inurl:"/club/link.php?url="
inurl:"/cntb.php?id=" inurl:"/config.php?u=" inurl:"/cougalinks.cgi?direct="
inurl:"/countries_change.php?url=" inurl:"/ct.ashx?url=" inurl:"/d.php?no="
inurl:"/dating/go.php?url=" inurl:"/disclaimer.asp?url=" inurl:"/dtr/link.php?"
inurl:"/EBayRedirectServlet?jumpto=" inurl:"/ept/out.php?" inurl:"/ex.aspx?t="
inurl:"/exit.php?url=" inurl:"/exitpage.aspx?return=" inurl:"/exlink.php?url="
inurl:"/ext.aspx?url="inurl:"/external_link.php?url=" inurl:"/externalLink.asp?url="
inurl:"/externalsearchstart/?return=" inurl:"/externalsiteredirect.asp?"
inurl:"/externlink.php?url=" inurl:"/foro/g.php?url=" inurl:"/forum/away.php?s="
inurl:"/forum/exit.php?url=" inurl:"/forum/g.php?url=" inurl:"/forum/go.php?to="
inurl:"/forum/go.php?url=" inurl:"/forum/home/link.php?url=" 
inurl:"/forum/redirector.php?url=" inurl:"/forum/ref.php?url=" 
inurl:"/forum/space/link.php?url=" inurl:"/forum/uc_server/link.php?url="
inurl:"/forum/visit.php?url=" inurl:"/forum_redir.cfm?d=" inurl:"/forums/home/link.php?url="
inurl:"/forums/redirector.php?url=" inurl:"/forumv2/g.php?url=" 
inurl:"/forumv3/index.php?thememode=full;redirect=" inurl:"/forward.php?tid=4062&url="
inurl:"/furnizor-link.php?url=" inurl:"/fwd.php?url=" inurl:"/get.link?linkid="
inurl:"/go.asp?URL=" inurl:"/go.aspx?" inurl:"/go.aspx?url=" inurl:"/go.htm?url="
inurl:"/go.php?gid=" inurl:"/go.php?go=" inurl:"/go.php?to=" inurl:"/go.php?u="
inurl:"/go.php?url=" inurl:"/go/?id=" inurl:"/go/url=" inurl:"/go2link.php?desturl="
inurl:"/gos.php?id=" inurl:"/goto.php?url=" inurl:"/goto/?href=" inurl:"/goto/link.php?url="
inurl:"/goto_extern.php?goto=" inurl:"/gotourl.php?url=" inurl:"/gourl.php?go="
inurl:"/govisit.php?url=" inurl:"/graduate/link.php?url=" 
inurl:"/hide-address-redirect.php?url=" inurl:"/home/link.php?url="
inurl:"/html-link.php?url=" inurl:"/hyperlink.php?url=" inurl:"/impakredirect.aspx?url="
inurl:"/includes/redirect.php?url=" inurl:"/index.php?go=" inurl:"/index.php?redirect="
inurl:"/index.php?thememode=full;redirect=" inurl:"/index.php?URL=" inurl:"/index?URL="
inurl:"/inout_redirect.php?" inurl:"/jump.asp?url=" inurl:"/jump.php?sid=" 
inurl:"/jump.php?url=" inurl:"/jumplink.php?target=" inurl:"/Klik.asp?URL="
inurl:"/leaving.php?u=" inurl:"/leaving.php?url=" inurl:"/lgate.php?link="
inurl:"/link.asp?" inurl:"/link.php?p=" inurl:"/link.php?url=" inurl:"/link/url="
inurl:"/link_external.php?name=" inurl:"/linkCounter.aspx?id=" 
inurl:"/linkDown.asp?filename=" inurl:"/linklog.php?url=" inurl:"/linkredir.cfm?"
inurl:"/ln_c.php?url=" inurl:"/lnspel_refer.php?url=" inurl:"/login?url="
inurl:"/logout.cfm?parent=" inurl:"/logout.php?referrer=" inurl:"/logout.php?return="
inurl:"/logout?redirect=" inurl:"/Mainf.asp?link=" inurl:"/map.aspx?url="
inurl:"/mcache.php?u=" inurl:"/member/link.php?url=" inurl:"/MobileDefault.aspx?reff="
inurl:"/out.cgi?" inurl:"/out.cgi?id=" inurl:"/out.php?cod_banner=" inurl:"/out.php?id="
inurl:"/out.php?link=" inurl:"/out.php?site=" inurl:"/out.php?url=" 
inurl:"/outbound.php?url=" inurl:"/outsideNav.asp?href=" inurl:"/ouvrirpub.asp?f="
inurl:"/r.php?link=" inurl:"/r.php?r=" inurl:"/r.php?u=" inurl:"/ra.asp?url="
inurl:"/rank.php?mode=link&id=" inurl:"/re?url="
inurl:"/ReceiveAutoRedirect/false?desiredLocationUrl=" inurl:"/redir.asp?"
inurl:"/redir.axd?url=" inurl:"/redir.html?url=" inurl:"/redir.php?" inurl:"/redir.php?id="
inurl:"/redir.php?link=" inurl:"/redir.php?redir=" inurl:"/redir.php?url="
inurl:"/redir.php3?u=" inurl:"/redir/?url=" inurl:"/redir?siteID=" inurl:"/redirect.asp?"
inurl:"/redirect.asp?page=" inurl:"/redirect.asp?sUrl=" inurl:"/Redirect.asp?UID="
inurl:"/redirect.asp?url=" inurl:"/redirect.aspx?url=" inurl:"/redirect.cfm?address="
inurl:"/redirect.do?" inurl:"/redirect.html?docId=" inurl:"/redirect.html?site_url="
inurl:"/redirect.php" inurl:"/redirect.php?action=url&goto=" inurl:"/redirect.php?f="
inurl:"/redirect.php?id=" inurl:"/redirect.php?link=" inurl:"/redirect.php?listid="
inurl:"/redirect.php?redir=" inurl:"/redirect.php?redirect_link="
inurl:"/redirect.php?redirect=" inurl:"/redirect.php?storyID=" inurl:"/redirect.php?url="
inurl:"/redirect/bounce.php?" inurl:"/redirect?link=" inurl:"/redirect?url="
inurl:"/redirector.php?url=" inurl:"/RedirectURL.aspx?JobURL="
inurl:"/Refer.aspx?Type=WebResult&Query=&url=" inurl:"/register.asp?Link="
inurl:"/ren_out_link.php?link=" inurl:"/rk.php?goto=" inurl:"/rss?redirect_url="
inurl:"/ru/link.php?url=" inurl:"/s?action=editReg&rurl=" inurl:"/s?action=reg&rurl="
inurl:"/site_exit.php?url=" inurl:"/site_redir.php?url=" inurl:"/ToggleMobile?ReturnTo="
inurl:"/track_it.php?url=" inurl:"/tracker.php?aid=google_cpc&url="
inurl:"/translate.php?pid=" inurl:"/url.php?url=" inurl:"/url-link.php?url="
inurl:"/urlredirect.php?go=" inurl:"/UserLogin?logout=1&NEXTURL="
inurl:"/vb/redirector.php?url=" inurl:"/view_activity.php?url="
inurl:"/visit.aspx?u=" inurl:"/visit.php?url=" inurl:"/vosexit.php?url="
inurl:"/voucherHandler.asp?redirectURL=" inurl:"/write-referral-link.php?url="
inurl:"?action=redirect&" inurl:"redirect=yes&url=" inurl:"type=1&url="

IP адрес сайта

У сайтов помимо домена есть свой IP адрес, перейдя по нему так же можно попасть на сайт

Возьмём к примеру IP адрес сайта Facebook - http://31.13.83.36

IP адрес можно кодировать в различные системы счисления поддерживаемые браузером

Decimal 32-bit: http://520966948

Octal 8-bit: http://037.015.0123.044

Octal 32-bit: http://03703251444

Hexadecimal 8-bit:http://0x1f.0xd.0x53.0x24

Hexadecimal 32-bit:http://0x1f0d5324

Их можно использовать вместе с методом HTTP авторизации, например http://instagram.com@520966948

Для быстроты и удобства кодирования есть python скрипт - github.com/D4Vinci/Cuteit

Telegram канал - t.me/batonblog

Telegram чат - t.me/spamcartel

Оплатить аренду транзитного счета - qiwi.me/dedbaton