Методы "вспоминания" пароля (от мыла)

Discussion in 'Уязвимости Mail-сервисов' started by censored!, 9 Oct 2005.

  1. Demetra

    Demetra Elder - Старейшина

    Joined:
    27 Aug 2007
    Messages:
    48
    Likes Received:
    8
    Reputations:
    0
    Bloodmoon,я слышала про джойнеры,слышала что сейчас их антивирь находит всех.а еси такое положить в обменик?скачают и усё,не?
     
  2. chrm

    chrm New Member

    Joined:
    25 May 2008
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Ну допустим знаю я ответ на секретный вопрос, - А дальше? пароль то придет новый. :mad: ..........
    Просто угнать ящик???? -никак не катит!, слишком примитивно
    Господа Спецы??? Кто что посоветует???
     
    #82 chrm, 21 Jun 2008
    Last edited: 21 Jun 2008
  3. r@mbler

    r@mbler New Member

    Joined:
    12 Dec 2006
    Messages:
    15
    Likes Received:
    2
    Reputations:
    0
    остается только троянуть )
     
  4. chrm

    chrm New Member

    Joined:
    25 May 2008
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Очень сомневаюсь что на том конце провода чел будет пинать неопознанное файло
    Еще варианты?
     
  5. Bloodmoon

    Bloodmoon Banned

    Joined:
    9 May 2008
    Messages:
    22
    Likes Received:
    150
    Reputations:
    -1
    Склей джойнером трой переименуй в bat,или scr,и впихни жертве как обновление маил агента например или ещё чего нибудь.
     
  6. heretic1990

    heretic1990 Elder - Старейшина

    Joined:
    2 Jul 2008
    Messages:
    499
    Likes Received:
    182
    Reputations:
    5
    а такой метод прокатит?
     
    1 person likes this.
  7. KIR@PRO

    KIR@PRO Active Member

    Joined:
    26 Dec 2007
    Messages:
    825
    Likes Received:
    294
    Reputations:
    354
    heretic1990иш ты какой хитрый... во первых у роботов майл в том числе и тех поддержка используются ящики с окончанием @support.mail.ru так что не гони... этому приколу года 4 минимум и тот человек который его написал и придумал получил доступ не тока к тому ящику который хотел но и к другим олухам которые на ето повелись! а то что ящик должен быть больше месяца то ето очень хороший прием СИ чтоб человек не зарегался за 2 мин. и не отправил логин и пароль т.к. злоумышленнику не надо пустое мыло он и сам его может зарегать... такой лохотрон мона найти еще как минимум на 30-40 ресурсах! так что ЛЮДИ НЕ ВЕДИТЕСЬ НА ЕТОТ ЛОХОТРОН
     
    _________________________
    3 people like this.
  8. Catchermax

    Catchermax New Member

    Joined:
    27 Jul 2008
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    Ктонибуть подскажите прогу для извлечения адресов из файла. Просто у меня в виде UIN;email , надо соответственно только email. Естественно поиск юзал, но не к чему хорошому непривел, ссылки или битые, или еще чтонибуть.

    И вопрос вдогонку какой брут без использования прокси можете посоветовать для брута на рамблере? Мне понравился "Mail.ru Web Brut" ,но там насколько я понимаю можно брутить только майловские адреса.
     
  9. †CyraX†

    †CyraX† Elder - Старейшина

    Joined:
    20 Apr 2008
    Messages:
    130
    Likes Received:
    180
    Reputations:
    11
    Microsoft Excel + немножко мозга :)
     
  10. Catchermax

    Catchermax New Member

    Joined:
    27 Jul 2008
    Messages:
    13
    Likes Received:
    1
    Reputations:
    0
    спс, но уже справился, дейстительно вопрос был глупый))) стоило немного подумать
     
  11. Anderson55

    Anderson55 New Member

    Joined:
    2 Jun 2008
    Messages:
    18
    Likes Received:
    0
    Reputations:
    -10
    может быть я конечно чтото путаю но и gmail можноломануть связкой фейк +СИ. разве нет?

    зы. Да кстати-фишка типа 50% правильного ответа на вопрос по паролю уже не канает.
     
    #91 Anderson55, 30 Aug 2008
    Last edited: 30 Aug 2008
  12. †CyraX†

    †CyraX† Elder - Старейшина

    Joined:
    20 Apr 2008
    Messages:
    130
    Likes Received:
    180
    Reputations:
    11
    Любой почтовый сервис можно ломануть, но о своих методах тебе никто не расскажет (я про тех кто этим зарабатывает)
     
  13. dzroot

    dzroot New Member

    Joined:
    6 Aug 2008
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    ++

    Хорошая тема, отличная статья :) Мало ли, когда и чего будет нужно? ;)
    Пока не забыл - еще хороший метод - кластеризация брутфорса (кода делишь перебор между несколькими/десятками/сотнями машин). Обычно для метода используется спам или ботнет с трояном, который и будет перебирать нужную часть на нужной машине. емко, долго, дорого, но иногда без такого никак - пример, "вспоминал" 20ти символьный неосмысленный пароль.... Вспомнил за месяц :)

    + как вариант, если есть какой-нить хостинг / тп, создаем "сервис" "от почтового провайдера" и предлагаем "клиенту" войти в него используя свой почтовый логин/пароль. Работает процентах в 70 случаев ;)

    Еще один:
    Регаем на почтовике (гугль и мэйлру не подойдут сразу :) ) аккаунт типа Info@, inforoot, admin.mail@ etc, и предлагаем жертве "уточнить" ответ на контрольный вопрос, или в "сервисных целях" выслать последних 4 символа пароля, в общем - фантазируем ;)
     
  14. vakula

    vakula New Member

    Joined:
    20 Jan 2008
    Messages:
    43
    Likes Received:
    4
    Reputations:
    0
    Народ, что за байда с брутом? Зарегил мыло на майле, поставил код 00000, брут нашол.
    Поставил посложнее 20000, не нашол.
    Вернул назад 00000, тоже голяк.

    Может забанили, ничего не понимаю.

    Помогите плиз.
     
  15. Vandam

    Vandam Banned

    Joined:
    3 Aug 2008
    Messages:
    17
    Likes Received:
    39
    Reputations:
    0
    censored!
    спасибо!
     
    1 person likes this.
  16. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,231
    Likes Received:
    300
    Reputations:
    151
    Незачто =)

    Его и не надо смотреть.
    В качестве доказательства, что пароль реально подобран, пусть исполнитель после секретного вопроса добавит, например, лишнюю точку. А вы потом проверите. Это даст гарантию (на маил_ру точно) что исполнитель все-таки имеет пароль.

    В сети много баз данных. Телефонные, прописки, налоговой, криминал и т.п.

    Все зависит от сервиса. Некоторые при восстановлении пароль не генерят заново. Но таких сервисов с каждым разом все меньше и меньше.

    И не забывайте про СИ!
    1. Так как многие почтовые сервисы по-мимо ящиков у себя держат сервисы открыток, вышлите себе эту открытку. Пусть она будет похожа на спам. Типа: "Привет! Я себе плеер новый купила. Покупала тут: siteurl.ru".
    2. Сделайте фейковую страницу входа для просмотра открытки. Все введенные данные отправятся к вам на снифер.
    3. Как письмо с "Вам прислали открытку" свалиться к вам в ящик, копируйте, открывайте и редактируйте html, в качестве ссылки на просмотр открытки указывайте ссылку на себя.
    4. От адреса с которого вам пришла открытка (можете и со своего) отправляете письмо на нужный ящик.
    5. Всё. Ждете когда что-нить свалиться на снифер.
    Эффективность — 60%. В дни праздников (23 февраля, 8 марта, день рождение и т.п.) — эффективность гораздо больше.

    p.s. Когда открытка содержит в себе спамное сообщение, о ней забывают, на нее редко отвечают.
    p.s.s.
    Раньше было проще скрывать адрес. Сейчас или маскируйте (хорошо если вы можете у себя создавать сабдомены), либо ищите редиректы на сайтах. У маил_ру многая реклама проходила через редирект (т.е. в начале светилось r.mail.ru).
    И чем сложнее "хвост" после домена, тем лучше. Да еще если он с параметрами, типа: cardview.html?E=8146054643&tid=103432442432
     
    _________________________
  17. Stalk

    Stalk Elder - Старейшина

    Joined:
    8 Dec 2007
    Messages:
    25
    Likes Received:
    3
    Reputations:
    0
    Топик старый, но полезный...
    Еще бы добавить в методы фейк, а то брутом я еще никогда ничего не ломал... Разве что аськи 8знаки но тут топик про мыло. А фейк ето простой и очень действенный метод. Только ето может и к СИ относится. Со всех методов в посте №1 реально рабочие только "троян","друзья помогут" или "оплата" ну и конечно "поймай в подезде"
     
    #97 Stalk, 16 Nov 2008
    Last edited: 16 Nov 2008
  18. sunic

    sunic New Member

    Joined:
    20 Nov 2008
    Messages:
    13
    Likes Received:
    2
    Reputations:
    0
    Кстати по поводу всяких там девичьих фамилий жен Социальные сети в помощь Используйте народа все практически даром
     
  19. Milaja

    Milaja New Member

    Joined:
    25 Nov 2008
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    ПРИВЕТИКИ ВСЕМ!!!!!!
    МОЖЕТ КТО-НИБУДЬ ПОДСКАЖЕТ КАК ЛУЧШЕ,ЧТОБЫ РЕАЛЬНО БЫЛО, ВЗЛОМАТЬ ЯЩИК,НЕ МЕНЯЯ ПАРОЛЬ?))))))
    ОЧ НАДО))))
     
  20. d1aVOL

    d1aVOL Elder - Старейшина

    Joined:
    29 Jul 2007
    Messages:
    38
    Likes Received:
    6
    Reputations:
    0
    о_0 береш биту и херачишь по ящику.. на счет пароля не знаю.. но будет реально!
     
Loading...