Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=74)
-   -   Сайты знакомств на Mamba (Love.mail) (https://forum.antichat.xyz/showthread.php?t=168403)

zzzloi_maxxx 05.01.2010 13:59
Сайты знакомств на Mamba (Love.mail)
 
Всем привет. Хочу поднять тему взлома сайтов знакомств на системе mamba. А именно интересует love.mail.ru.

Многие начнут говорить что такая тема уже не раз поднималась и существует куча форумов на этот счет. Спорить не стану, так то оно так но все что встречалось мне в поисках нужной информации оказывалось либо бесполезным флудом, либо давно устаревшей информацией и неработающими дырками. :confused:

Поэтому хочу подойти основательно к обсуждению этого вопроса и надеюсь получить наконец таки толковую ветку форума по взлому love.mail.ru и mamba в принципе.

Ниже привожу сделанные мною первоначальные выводы по взлому этой системы.
Если в чем то окажусь неправ , то поправьте меня и расскажите то что вы знаете на этот счет.

Перебрал я значит различные методы взлома:

1. Брут. Зная логин, в принципе можно сбрутить пароль к системе, НО сайт блокируется после 5 неправильных комбинаций и снова подключается только по прошествию 15 минут.

Можно ли как то обойти эту фишку ? Может попробывать динамический ip , если да, то с помощью какого брута это лучше всего делать. Brutus Aet если тянет это, то с какими настройками ?

2. С помощью засланного фэйка сайта. НО, во первых не могу найти вообще ни одного готового фэйка на эту тему. Везде только фэйки на mail.ru. Пробывал из него переделать по страничку знакоств, ничего хорошего из этого не вышло, ну не силен я в кодинге php. Во вторых каким образом его засылать. Ссылки в сообщениях и анкете блокируются. Единственный вариант слать письмо на электронку жертвы под видом "службы поддержки". +прибавляется еще головнячок, узнать электронку. Ну здесь в принципе если применить СИ , то может и прокатить, но не в 100% случаев это точно.

Если есть у кого готовые фэйки на love.mail , скидывайте буду только благодарен, и не я один думаю. Пишите варианты как их лучше подсовывать. Кстати и посоветуйте у кого есть опыт, какой бесплатный хостинг лучше всего подходит для этого.

3. XSS уязвимости. Все найденные дырки давно залатали. Если кто нашел новые и актуальные, пишите сюда.

4. Спереть Куки с помощью сниффера. Немного не сращиваю как это лучше сделать. С электронкой это выходит, а вот с love.mail куки приходят непонятные.

У кого есть опыт подскажите ?

Короче делимся опытом. Убедительная просьба не флудите впустую и не занимайтесь копипастой неактуальных старых способов с других сайтов.

Жду вашей реакции.

Hitman777 05.01.2010 15:04
твоя статья касается всех соц сетей.. и не только... новые решения есть?

shell_c0de 06.01.2010 07:42
Фейки для :
blogs.mail.ru
files.mail.ru
foto.mail.ru
games.mail.ru
love.mail.ru
my.mail.ru
video.mail.ru
win.mail.ru

P.S Сделать фейк любого сайта дело 2 минуты =\

Скачать

zzzloi_maxxx 06.01.2010 10:06
shell_c0de спасибо за архив. Подправьте ссылочку .rar дописывайте.
Пробуем фэйки.
Может тогда посоветуешь еще хостинг самый удачный для такой суеты ??

zzzloi_maxxx 06.01.2010 10:31
У меня почему то работают все Фэйки из архива, кроме love.mail =) по иронии
может что то с кодом....

zzzloi_maxxx 07.01.2010 07:48
Пробывал с помощью этой проги, неплохая софтина, но метод отправки криво встает.

ArxGrabberSite

Описание:

Программа поможет вам разобрать любую веб страницу на части.
То есть извлечь нужные Вам данные.
В программе используются регулярные выражения аналогичные тем которые в PHP.

Особенности:
- Извлечение Email адресов
- Извлечение ссылок
- Извлечение JavaScript
- Извлечение описания страницы
- Извлечение кейвордов страницы
- Возможность создать своё правило регулярного выражения
- Вывод исходника страницы

Цитата:
http://webxakep.net/forum/showthread.php?t=4850

shell_c0de 07.01.2010 08:59
Перезалил архив

realufo85 07.01.2010 14:41
zzzloi_maxxx]
Братуха если че у тя получиться ты не бросай нас :))
Потом обьяснишь что и как!

А®ТеS 08.01.2010 18:42
Был набор скриптов AnyFake (в избранном Ачата торчит)... Его можешь проверить, чтобы фейк-страницу сделать.

[Life] 08.01.2010 19:36
ArxGrabberSite

zzzloi_maxxx 08.01.2010 20:34
Это п..ц вот что значит я дуб дубом в ПХП. Редактировал код методом логических умозаключений =)) Короче неплохой вариант для дилетанта с помощью этой проги сделать фейк, но часть кода заменить и вставить кусок из фейков shell_c0de. В месте формы отправки логина и пароля

vintus 11.04.2010 21:23
Тему новую создавать не буду, поэтому пишу здесь.Есть куки на лавмэйлру,заход на страничку есть - вопрос: можно ли как-то влезть с этими куками(инфой в них содержащейся) на сам ящик. Вопрос типа как из куков пароль выдернуть и не задаю, ибо никак))) какие у кого соображения?

zzzloi_maxxx 12.04.2010 03:03
Куки mail.ru
 
Помойму оказавшись в сессии другого на мэйле можно лазить по всем его страничкам, и почта в том числе. Просто бегаешь по вкладкам. Чем куки заснифел ?

vintus 12.04.2010 10:34
Цитата:
Сообщение от zzzloi_maxxx
Помойму оказавшись в сессии другого на мэйле можно лазить по всем его страничкам, и почта в том числе. Просто бегаешь по вкладкам. Чем куки заснифел ?
Не получается так просто.Прямых переходов в ящик оттуда нет,а во время сессии при заходе на майлру требует авторизации.Они типа как два разных сайта или защита такая?куки не снифал, так как на нужный мне ящик заходили с того компа к которому я имею доступ :)


Время: 19:18