Реклама на hackersoft.ru Реклама на hackersoft.ru

Вернуться   Форумы Hackersoft > Хакерство и безопасность > Для новичков
CHAT Регистрация Справка Пользователи Доска почета Календарь Поиск Сообщения за день Все разделы прочитаны

Для новичков FAQ'и, руководства, документации, написанные участниками форума для новичков.

Ответ
 
Опции темы
Старый 11.08.2009, 00:50   #1
GrandMaster
Супер-пупер 
 
Аватар для GrandMaster
 
Регистрация: 09.11.2008
Сообщений: 1,726
Вес репутации: 43 GrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалист
Депозит: 0$
Вы сказали Спасибо: 688
Поблагодарили 600 раз(а) в 359 сообщениях
Итак, создано немало статьей по этой теме, но вопросы новичков от них не становятся меньше. Вот я и решил написать свою статью, чтобы на все вопросы новичков перенаправлять их сюда. Так сказать основной F.A.Q по взлому Email. Статья основана для новичков, так что нашим гуру попрошу не ругаться. Начнем.

Существует несколько способов, вот основные:
1) BruteForce
2) СИ (социальная инжерия)
3) Фейк
4) Троян & pinch
5) XSS и снифферы
6) Взлом компьютера жертвы
7) Секретный вопрос

Теперь подробнее.
1)BruteForce

Первый и мой самый нелюбимый способ. Останавливаться подробно что такое брут не буду. Это перебор паролей по словарю. Лично я советую брут Vzlommyla. Честно говоря я вообще не советую брут, но иногда помогает.
Плюсы брута:
1) Полных ламеров берет на ура, иногда даже программа не нужна. Т.е. перебор в ручную. В первую очередь пробуем ник, дату рождения, обычные пассы "блондинок" (123456, qwerty и т.д... Пожалуй, на этом ВСЕ

Минусы брута:
1) На многих популярных почтовых серверов (до почти на всех) стоит капча (защита от брута)
2) Если пароль стоит типа этой - erggdbd, то никакой брут вам не поможет. Только потеряете кучу времени, трафика и нервов.
3) Требует очень много времени, до и шанс на взлом минимальный.
4) Сейчас на многих почтовых серверах запрещается ставить простые пароли, где используются только цифры и т.д. Т.е опять же шанс приравнивается к 0.
5) Нужно достать очень много хороших и быстрых прокси, что не так легко, как может показаться.
6) Существует очень очень много словарей, так что со словарем тоже надо угадать...

Ну впринцапа это всё. Если ничего уж не помогает, то можно и попытать счастье на бруте, но использовать его как основной взломщик почтовых адресов не советую.

Процент взлома около 10%


2) СИ (социальная инжерия)

Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. (с) wikipedia
Проще говоря это взлом самого юзера. СИ используется почти во всех способов взлома Email, кроме брута. Зачем пробовать взломать пароль, если можно спросить его у жертвы? Можно всего лишь отправить письмо с просьбой указать свой пароль. Например, зарегистрировать себе адрес типа - supart@mail.ru и отправить жертве письмо. Шаблонов таких писем в интернете куча, но многие неактуальны, так как уже давно используются. Вот один из таких шаблонов, но конечно лучше создать свой, что-то новенькое так сказать:
Цитата:
Здравствуйте!
В связи с техническими работами национальной почтовой службы Mail.Ru просим вас отправить ваш пароль по этому адресу E-Mail`a
Поскольку когда будут проходить технические работы все пароли и E-Mail`ы пропадут!
Приносим свои извинения! После проведений технических работ будет улучшено следующее:
Новая Версия МAIL Agent 9,0:
Новые смайлы!
Улучшен Скин!
При входе в Агент будет запомнен Ваш пароль и адрес E-Mail`a!
И Многое Другое!
Чтобы вы могли пользоваться новыми услугами "Mail.ru", Вы должны выслать пароль и немного подождать!
Начало Технических Работ 19 сентября 2009 года!
С Уважением Администрация "Mail.ru"
Если наша жертва незнакома с элементарными правилами безопасности, то, конечно же, она вышлет нам свой пароль, но более продвинутых юзеров эта тема не катит.

Процент взлома около 10%

3) Фейк
Фейк - это поддельная страница. Внешне она выглядит точно так же, как почтовый сервис, но домен наш и то, что вводит жертва, отсылается нам на мыло. Для создания фейка нам нужно зарегистр. свой сайт на хостинге с поддержкой php. Всем советаю freehostia. Дальше заливаем наш фейк на хостинг и кидаем ссылку жертве. Вот приличный сборник фейков (собрано все основное). Осталось придумать, как закинуть наш фейк жертве. Опять же используем СИ. Вот несколько шаблонов писем.
Цитата:
Иван Иванович,
в связи с недавними техническими работами на нашем сервере сообщаем Вам,
что каждый пользователь должен пройти обязательную процедуру авторизации
на нашем сервере для подтверждения действенности аккаунта.

Для авторизации пройдите пожалуйста по следующей ссылке :
/наша ссылка скрытая конечно /
<a href="наш фейк">адрес проекта</a>

С уважением,
Администрация /назва проекта/.
Цитата:
Здравствуйте Василий Пупкин в связи с недавними техническими неполадками
вызванные атакой хакеров были вызваны сбои в работе сервера.

Для подтверждения действительности своего аккуанта просим вас пройти по
этой ссылке для повторной авторизации./наша ссылка скрытая конечно /
<a href="наш фейк">адрес проекта</a>

Извините за неудобства.
С уважением,
Администрация /назва проекта/.
Цитата:
Здравствуйте на ваше имя отправлена открытка "Для самой красивой"
Чтобы посмотреть открытку нажмите на ссылку
И т.д. Преимущества фейка в том, что не нужно регистрировать себе новый почтовый адрес, а можно всего лишь использовать анонимную отправку писем и отправить письмо сразу от лица администрации.

Грамотный фейк + СИ любого возьмет, поверьте.

Процент взлома около 70-80%

4) Троян & pinch
Можно написать небольшой bat'ник, который будет воровать куки жертвы. Если у жертвы стоит IE то все понятно, если opera, то тащим файл wand.dat и расшифровываем его пасс с помощью программы MPR (Multi Password Recovery), если Mozilla Firefox, то нам нужен файлик Signons3.txt. Расшифровываем пароли тем же MPR.
Можно так же взять pinch и получить сразу все пароли, но найти pinch, который не будет "палиться" антивирусами очень непросто, а хорошие крипторы только продаются. Впринцапи альтернативы много, можно так же подкинуть radmin и Inficker
Закидываем наш троянчик жертве тоже через СИ.

Процент взлома около 90% (если получится все сделать)

5) XSS и снифферы
Самому найти xss не так просто, так что советую пользоваться готовыми снифферами. Вот самый классный по мне сниффер. Должно быть понятно даже новичкам. Снифферы используются для перехвата сессий. Опять же останавливаться на этом не буду, все очень легко и понятно должно быть.

Процент взлома около 70%

6) Взлом компьютера жертвы
Это уже для более опытных пользователей. Главный смысл заключается во взломе компьютера жертвы. Т.е. для начало сканим по айпи жертву, находим открытые порты, используем нужный нам эксплоит, залезаем на комп жертвы и уже в ручную тащим куки.

Процент взлома около 70-80%

7) Секретный вопрос
Всё очень просто. Нажимаем на кнопочку "Забыл пароль" и пробуем восстановить пароль через секретный вопрос. Ответ можно узнать у жертвы через СИ. Так же можно написать в техническую поддержку с просьбой выслать пароль, объяснив причину в том, что Вас взломали и Вы хотите вернуть Ваш почтовый ящик

Процент взлома около 20-30%

Ну впринцапи это все, что хотел рассказать вам. Надеюсь вопросов теперь станет меньше. (с) GrandMaster

P.s шаблоны писем были взяты с форума hackersoft.ru

Последний раз редактировалось GrandMaster, 23.03.2010 в 23:07.
GrandMaster вне форума   Ответить с цитированием
Старый 11.08.2009, 20:45   #2
Apocalypse
intermediate 
 
Аватар для Apocalypse
 
Регистрация: 02.11.2008
Прописка: Google
Сообщений: 571
Вес репутации: 14 Apocalypse знатокApocalypse знатокApocalypse знаток
Депозит: 0$
Вы сказали Спасибо: 113
Поблагодарили 164 раз(а) в 101 сообщениях
если ты не против GrandMaster то я добавлю ещё один способ
7)Keylogger
Keylogger — (англ. key(stroke) — нажатие на клавишу и англ. logger — регистрирующее устройство) — это программный продукт (модуль) или аппаратное устройство, регистрирующее каждое нажатие клавиши на клавиатуре компьютера.

Виды информации, которые могут контролироваться
* нажатия клавиш на клавиатуре
* нажатия клавиш мышки
* дата и время нажатия

Логи могут отправятся
* e-mail (без участия пользователя)
* ftp (без участия пользователя)
* http (https - безопасное соединение по Интернет) (без участия пользователя)
* любой вариант беспроводной связи (радиодиапазон, инфракрасный диапазон, Bluetooth, WiFi и т.п.)
* по локальной сети

вот два минуса может тормозить комп. + антивирь

Процент взлома около 50% + зависит от keylogger'a


SMILE! tomorrow's going to be worse.
Apocalypse вне форума   Ответить с цитированием
Старый 21.09.2009, 10:55   #3
KarpovSergei
newbie 
 
Регистрация: 09.09.2009
Прописка: Russia
Сообщений: 3
Вес репутации: 0 KarpovSergei новичек
Депозит: 0$
Вы сказали Спасибо: 0
Поблагодарили 1 раз в 1 сообщении
Как вариант можно трояном украсть куки с компьютера жертвы. Допустим, собираешь троян, и маскируешь его под программу типа VkontaktePicture, жертва введет свой пароль и мыло.
Еще можно сделать подставную веб-страничку входа ВКонтакте, а жертве расказать что если заходишь через эту страницу тебе там рейтинг повышают, или можно смотреть закрытые альбомы СИ.
KarpovSergei вне форума   Ответить с цитированием
Благодарности KarpovSergei от:
Старый 21.09.2009, 13:04   #4
m33
professional 
 
Аватар для m33
 
Регистрация: 30.08.2008
Прописка: 127.0.0.1
Сообщений: 1,495
Вес репутации: 44 m33 профессионалm33 профессионалm33 профессионалm33 профессионалm33 профессионалm33 профессионалm33 профессионалm33 профессионалm33 профессионалm33 профессионал
Депозит: 0$
Вы сказали Спасибо: 109
Поблагодарили 609 раз(а) в 351 сообщениях
Цитата:
Как вариант можно трояном украсть куки с компьютера жертвы. Допустим, собираешь троян, и маскируешь его под программу типа VkontaktePicture, жертва введет свой пароль и мыло.
так куки, троян или фейк? О_о нефига не понял

ps в статье все подробно расписанно

Я няшка.
m33 вне форума   Ответить с цитированием
Старый 21.09.2009, 17:05   #5
GrandMaster
Супер-пупер 
 
Аватар для GrandMaster
 
Регистрация: 09.11.2008
Сообщений: 1,726
Вес репутации: 43 GrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалист
Депозит: 0$
Вы сказали Спасибо: 688
Поблагодарили 600 раз(а) в 359 сообщениях
Цитата:
Еще можно сделать подставную веб-страничку входа ВКонтакте, а жертве расказать что если заходишь через эту страницу тебе там рейтинг повышают, или можно смотреть закрытые альбомы СИ.
это и есть фейк
Цитата:
Как вариант можно трояном украсть куки с компьютера жертвы. Допустим, собираешь троян, и маскируешь его под программу типа VkontaktePicture, жертва введет свой пароль и мыло.
смотрим пункт 4
GrandMaster вне форума   Ответить с цитированием
Старый 26.10.2009, 19:26   #6
Testament
intermediate 
 
Аватар для Testament
 
Регистрация: 20.10.2009
Прописка: root@Inflex:~#
Сообщений: 809
Вес репутации: 19 Testament продвинутыйTestament продвинутыйTestament продвинутый
Депозит: 0$
Вы сказали Спасибо: 72
Поблагодарили 295 раз(а) в 191 сообщениях
Но ещё как вариант можно использовать взлом самого сайта, тут думаю вероятность взлома при удачном раскладе около 99% буит - и тем более взломается не 1 аккаунт=)



OpenSolaris: я думал после FreeBSD меня ничто не удивит - я ошибался...
Testament вне форума   Ответить с цитированием
Старый 26.10.2009, 19:30   #7
GrandMaster
Супер-пупер 
 
Аватар для GrandMaster
 
Регистрация: 09.11.2008
Сообщений: 1,726
Вес репутации: 43 GrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалистGrandMaster специалист
Депозит: 0$
Вы сказали Спасибо: 688
Поблагодарили 600 раз(а) в 359 сообщениях
Цитата:
Но ещё как вариант можно использовать взлом самого сайта
удачного тебе хака mail.ru
Пиши версии не из области фантастики.
GrandMaster вне форума   Ответить с цитированием
Старый 04.06.2010, 20:07   #8
REDTEAM
newbie 
 
Регистрация: 04.06.2010
Сообщений: 41
Вес репутации: 1 REDTEAM новичек
Депозит: 0$
Вы сказали Спасибо: 0
Поблагодарили 1 раз в 1 сообщении
мужики статья обзорная, вот если бы по урокам были выложены методы подбора паролей, вот это дело... Типа "хак мыла для тупых" :-)
REDTEAM вне форума   Ответить с цитированием
Благодарности REDTEAM от:
Старый 07.08.2010, 06:44   #9
Yasumi Оmega
newbie 
 
Регистрация: 06.08.2010
Сообщений: 5
Вес репутации: 0 Yasumi Оmega новичек
Депозит: 0$
Вы сказали Спасибо: 3
Поблагодарили 0 раз(а) в 0 сообщениях
это теория, (и нечего критиковать) кстати хорошая, спасибо
Yasumi Оmega вне форума   Ответить с цитированием
Старый 28.12.2010, 16:25   #10
UniX
advanced 
 
Аватар для UniX
 
Регистрация: 13.10.2009
Сообщений: 318
Вес репутации: 7 UniX новичек
Депозит: 0$
Вы сказали Спасибо: 35
Поблагодарили 62 раз(а) в 55 сообщениях
Подскажите сниффер,тот домен продается

Последний раз редактировалось GrandMaster, 28.12.2010 в 16:37.
UniX вне форума   Ответить с цитированием
Ответ


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы

Ваши права в разделе
Вы не можете создавать темы
Вы не можете отвечать на сообщения
Вы не можете прикреплять файлы
Вы не можете редактировать сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.


Часовой пояс GMT +4, время: 07:48.


© 2005 — +∞ Hackersoft. Все и вся защищены.
Публичная оферта | Правила форума | Реклама на сайте
Powered by vBulletin®©™ Jelsoft®©™ Enterprises Ltd. Перевод: zCarot.
Реклама на hackersoft.ru Реклама на hackersoft.ru