Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Этичный хакинг или пентестинг (https://forum.antichat.xyz/forumdisplay.php?f=209)
-   -   Пентест без данных (https://forum.antichat.xyz/showthread.php?t=475458)

olddirtybastard 03.02.2020 14:58
Доброго времени суток. Думаю эта тема будет полезна для начинающих пентестеров, потому как ситуация вполне распространенная. Допустим я выбираю полигоном для действий одноклассники ( так как вк, на мой взгляд обладает лучшей защитой). Мы не будем говорить о рандомном хаке акков и о социальной инженерии. В рандомном хаке нет ничего сложного, если залить в чеккер базу с логами, проксями и пассами и тупо ждать.

Допустим у меня есть только страница теоретической жертвы и нет логина и даже намека на пасс. + у меня нет возможности контакта и фишинг тут тоже не пройдет.

Как вскрыть такую страницу? И реально ли это сделать используя тот же брутус или гидру. Спасибо.

P. S. Я встречал массу тем, но анализа с практической точки зрения не видел нигде. Может гуру помогут.

molemime 03.02.2020 15:48
Теоретически если удастся получить доступ к роутеру жертвы (спроси меня как), можно подменить DNS на фейковый, и слать пользователя на фейковый сайт, который дампит пароль. Это идеально, без фишинга почти

fandor9 03.02.2020 16:23
Цитата:
Сообщение от olddirtybastard
olddirtybastard said:

Доброго времени суток. Думаю эта тема будет полезна для начинающих пентестеров, потому как ситуация вполне распространенная. Допустим я выбираю полигоном для действий одноклассники ( так как вк, на мой взгляд обладает лучшей защитой). Мы не будем говорить о рандомном хаке акков и о социальной инженерии. В рандомном хаке нет ничего сложного, если залить в чеккер базу с логами, проксями и пассами и тупо ждать.
Допустим у меня есть только страница теоретической жертвы и нет логина и даже намека на пасс. + у меня нет возможности контакта и фишинг тут тоже не пройдет.
Как вскрыть такую страницу? И реально ли это сделать используя тот же брутус или гидру. Спасибо.
P. S. Я встречал массу тем, но анализа с практической точки зрения не видел нигде. Может гуру помогут.
А при чём здесь пентест? Если это пентест, то вам этот акк для чего-то нужен, ну я понимаю почту, там могут лежать пассы, но ОК зачем? То что вы описываете, это скорее заказаный взлом акка в ОК. От имени жертвы рассылать спам или ссылки знакомым вроде как для пентеста самой цели ничего не принесёт? или я чего-то недопонимаю?

olddirtybastard 03.02.2020 16:34
Цитата:
Сообщение от fandor9
fandor9 said:

А при чём здесь пентест? Если это пентест, то вам этот акк для чего-то нужен, ну я понимаю почту, там могут лежать пассы, но ОК зачем? То что вы описываете, это скорее заказаный взлом акка в ОК. От имени жертвы рассылать спам или ссылки знакомым вроде как для пентеста самой цели ничего не принесёт? или я чего-то недопонимаю?
Это не заказ и не слежка за соседом.) Столкнулся с такой задачей и думаю как можно ее решить и можно ли. Механику взлома брутом и перебор паролей с переменой кучи прокси я понимаю. Если у меня есть лог, но нету пасса, то тоже логику прослеживаю. А тут я не знаю как это можно сделать, но полагаю что как-то можно. Это вопрос с целью повышения скилла

olddirtybastard 03.02.2020 16:35
Цитата:
Сообщение от molemime
molemime said:

Теоретически если удастся получить доступ к роутеру жертвы (спроси меня как), можно подменить DNS на фейковый, и слать пользователя на фейковый сайт, который дампит пароль. Это идеально, без фишинга почти
Ок, а если жертва сидит с мобильного интернета и не юзает вифи?

fandor9 03.02.2020 17:23
Цитата:
Сообщение от olddirtybastard
olddirtybastard said:

Ок, а если жертва сидит с мобильного интернета и не юзает вифи?
ну может тот же человек есть и на других ресурсах, а там может найдёте мыло под которое рег ОК. тут вы можете либо попробовать подобрать пасс под мыло и под ОК.

olddirtybastard 03.02.2020 17:50
Цитата:
Сообщение от fandor9
fandor9 said:

ну может тот же человек есть и на других ресурсах, а там может найдёте мыло под которое рег ОК. тут вы можете либо попробовать подобрать пасс под мыло и под ОК.
Страница скрыта. Имя м фамилия левые. Искать на других ресурсах не имеет смысла. Простите, но мне кажется что все логические методы я уже перебрал. Что я хочу от Вас? Техническую помощь в понимании данного вопроса. Эксплоиты, возможно дыры в коде, возможно утилиты... Допустим могу ли я как-либо использовать ссылку на акк ?

P. S. Я понимаю что чудо программ нигде нет, если конечно ты не написал ее сам. А вот чудо программа которая отправит данные с твоего ПК - доброжелателям , всегда пожалуйста

molemime 03.02.2020 18:07
Чисто технически, нету такой возможности.

erwerr2321 03.02.2020 18:17
Цитата:
Сообщение от olddirtybastard
olddirtybastard said:

Это вопрос с целью повышения скилла
Хз, почитай репорты

https://hackerone.com/ok/hacktivity

Nilardred 12.02.2020 15:13
Цитата:
Сообщение от molemime
molemime said:

Теоретически если удастся получить доступ к роутеру жертвы (спроси меня как), можно подменить DNS на фейковый, и слать пользователя на фейковый сайт, который дампит пароль. Это идеально, без фишинга почти
Хм, а это разве ещё работает? Браузер ведь всё равно будет ругаться и спалит всю контору)


Время: 11:15