Неофициальный форум г. Ростова-на-Дону Среда, 13.12.2017, 00:59
Приветствую Вас Гость | RSS
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
Страница 1 из 11
Форум » Hi-Tech » Hacking » Взлом mail.ru и других почтовиков
Взлом mail.ru и других почтовиков
SinayДата: Вторник, 04.09.2007, 17:16 | Сообщение # 1
Создатель
Группа: Администраторы
Сообщений: 87
Репутация: 1
Статус: Offline
Взлом mail.ru и других почтовиков
Доброго времени суток! Ежедневно на портала появляются вопросы типа как взломать мыло друга/врага/брата/свата и это очень сильно настигает, т.к. просто напросто людям тяжело полистать форум. Поэтому решил написать небольшой мануал, чтобы на него можно было давать редирект.
Ну начнём. Т.к. я рассчитываю, что эта статья будет полезна начинающим то особо изощрённые методы которые новичок врятли реализует мы рассматривать небудем.
1. Социальная Инженерия(СИ)
2. СИ+Троян
3. Брутфорс
4. Xss на сайтах почтовиков и тд.(Поиск этих дыр выходит за пределы данного мануала)
…………………………….
1.Социальная инженерия это атака не на сервер и не на машину клиента, а на мозг клиента. Грубо говоря это можно назвать разводом. Если ты хочешь получить пасс юзера можно поступить несколькими способами.
а) Смотрим форму восстановления пароля, находим секретный вопрос и пытаемся узнать ответ на этот вопрос у нашей жертвы в каком либо чате.
б) Отправляем письмо жертве с просьбой прислать в письме логин/ пароль/ новый пароль / новый вопрос и тд.
Письмо должно быть хорошо оформлено в официальном стиле(можно впихнуть баннер mail.ru в письмо).
2. Троян ака троянский конь- это шпионская программа которая может отправить пароли жертвы вам на почту, запомнить все нажатые клавиши, дать вам доступ к харду жертвы и тд. Для того чтобы подсунуть жертве трой мы используем СИ, говорим что это фотка(предварительно склеив троян с картинкой), последний супер мега патч на винду и т.д. Здесь всё зависит только от твоей фантазии. Чтобы троян не палился антивирусом его нужно закриптовать, криптор надо использовать приватный, так как пабликовые палятся антивирусом. Один из наиболее мощных троянов это Pinch(где слить-поищи в google.com, пусть это будет твоё боевое крещение).
3. Брутфорс-самый грубый метод взлома, попросту тупой перебор. Для брута нам понадобится Brutus AET2-лучший брут под винду ИМХО. Ну и конечно словари, словарь можно слить в разделе файлы hackzone.ru. И так запустив Брутус перед нами появляется очень милое окошкой с парой-тройкой полей. В поле target пишем адрес pop3 сервера, например: pop.mail.ru , pop.list.ru и тд(адрес pop3 сервера можно помотреть в веб интерфейсе почтовика в разделе помощь по настроёке почтовых клиентов) В поле type выбираем pop3. Connections ставим 60, timeout 30(каждый подбирает настройки под свою линию доступа в интернет). Далее ставим галочку на single user – и в форме вводим ник жертвы. Если непоставить галку на ingle user то брутус будет брать логины из файла users.txt в папке брутуса. Следущее поле pass mode(режим пароля)-он состоит из 3 частей
1) Word list – слова берутся из словаря, путь к словарю указываем с помощью кнопки browse
2) Combo list – комбинированные пароли
3) Brute Force-посимвольный перебор, с помощь кнопки range выбираем диапазон символов для перебора, например только символы или только буквы русского языка.
4. Xss- наиболее часто встречаемая уязвимость на почтовых сайтах, о новых ещё не залатанных дырах часто можно узнать на forum.antichat.ru ну или конечно же найти самому. О том как использовать этот тип уязвимостей расскажу в след раз.


ВСЕ ЛЮДИ , КАК ЛЮДИ , А Я ОДИН БОГ И МНЕ ВСЁ ПОХ!!!
 
SerginiosДата: Вторник, 04.09.2007, 18:17 | Сообщение # 2
NewBaby
Группа: Пользователи
Сообщений: 47
Репутация: 0
Статус: Offline
Бруальный метод перебора - вообще, стоит ли этим заниматься. Хорошо, что у меня вечно один спам на ящики приходит! Если бы не гребаный спам, вообще скучно жить было бы! Бат его иногда правда отсеивает, но то, что проходит уж очень необычное smile
 
PatrikДата: Среда, 28.01.2009, 21:40 | Сообщение # 3
NewBaby
Группа: Пользователи
Сообщений: 1
Репутация: 0
Статус: Offline
На mail.ru несколько МИЛЛИОНОВ пользователей. Есть процент, который имеет слабую память и тупые мозги, чтоб запомнить свой пароль и частенько эти перцы сталкиваются с проблемой забывания пароля Итак, даже небольшой процент от более чем милионной толпы владельцев мыльниц - это тоже своеобразная толпа, которая требует свои пароли. Существуют всякие системы аля "Забыл пароль" в котором вас спрашивают ответ на секретный вопрос, данные, которые Вы вводили при регистрации и т.п. Но самое интересное, что этим занимается не человек, а машина, т.е. обычная программулина !!!! А если есть программа - есть в ней дыра. Теперь приступим к описанию конкретных действий.
Тут все просто. По адресу pass-agent@mail.ru сидит mail-робот, который анализирует запросы на восстановление пароля и в зависимости от этого либо уточняет ваши данные, либо сразу шлет пароль. На сайте есть форма для заполнения с всевозможными параметрами, которая потом шлется роботу со специальным Subject'ом. Фишка в том, что если в сабжект впихнуть не один, а два запроса, то проверятся будет последний ящик, а информация будет выслана для второго! Так шевелим мозгами... Правильно! Высылаем два запроса: в одном сообщаем инфу о ящике жертве, во втором инфу о своем (о своем то мы все знаем wink )

Итак, мы хотим обломать vasya_pupkin@mail.ru
Наш ящик hacker@mail.ru пароль qwerty
Пишем письмо роботу на pass-agent@mail.ru
Subject: login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=

Т.е. первый раз вставляем в тему письма запрос о ящике-жертве - vasya_pupkin@mail.ru : login=vasya_pupkin&pass=&answer=
А потом, через точку с запятой второй запрос, с вашими данными, которые робот проверит и убедится, что они правильные!
login=hacker&pass=qwerty&answer=
Итого : тема сообщения выглядит вот так :
login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Все, ждите пасс на ваше мыло!!!

 
Форум » Hi-Tech » Hacking » Взлом mail.ru и других почтовиков
Страница 1 из 11
Поиск:

Copyright MyCorp © 2017