Хакерство и остальное х__ моё! - Страница 4

	Четверг, 19.06.2025, 21:41
	10-В клас
	Главная Хакерство и остальное х__ моё! - Страница 4 - Форум Регистрация Вход

Приветствую Вас Гость | RSS

[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]

Страница 4 из 11 « 1 2 3 4 5 6 … 10 11 »
Модератор форума: Mowka_Zyza

Хакерство и остальное х__ моё!

Mowka_Zyza

Дата: Четверг, 01.11.2007, 17:06 | Сообщение # 46

Призер школьных олимпиад

Группа: Модераторы

Сообщений: 717

Статус: Offline

шо?

Silver

Дата: Четверг, 01.11.2007, 17:09 | Сообщение # 47

Участник школьных Олимпиад

Группа: Модераторы

Сообщений: 416

Статус: Offline

ну то что Лёха - нуб,я понял!)

Raptor

Дата: Четверг, 01.11.2007, 17:09 | Сообщение # 48

Участник школьных Олимпиад

Группа: member 10V

Сообщений: 296

Статус: Offline

Silver, спс

ShadowAndDust

Дата: Четверг, 01.11.2007, 17:11 | Сообщение # 49

Отличник

Группа: member 10V

Сообщений: 80

Статус: Offline

Quote (Silver)

ну то что Лёха - нуб,я понял!)

уря!)))
Димыч после слова нуб пропустил букву "в"

Via est vita.

Dum spiro, spero.

Silver

Дата: Четверг, 01.11.2007, 17:24 | Сообщение # 50

Участник школьных Олимпиад

Группа: Модераторы

Сообщений: 416

Статус: Offline

Raptor, есть новости! лови в личке!

Добавлено (01.11.2007, 17:24)
---------------------------------------------
Вот статейка с ИНета, зацените...
На mail.ru несколько МИЛЛИОНОВ пользователей. Есть процент, который имеет слабую память и тупые мозги, чтоб запомнить свой пароль и частенько эти перцы сталкиваются с проблемой забывания пароля Итак, даже небольшой процент от более чем милионной толпы владельцев мыльниц - это тоже своеобразная толпа, которая требует свои пароли. Существуют всякие системы аля "Забыл пароль" в котором вас спрашивают ответ на секретный вопрос, данные, которые Вы вводили при регистрации и т.п. Но самое интересное, что этим занимается не человек, а машина, т.е. обычная программулина !!!! А если есть программа - есть в ней дыра. Теперь приступим к описанию конкретных действий.
Тут все просто. По адресу [moderated] сидит mail-робот, который анализирует запросы на восстановление пароля и в зависимости от этого либо уточняет ваши данные, либо сразу шлет пароль. На сайте есть форма для заполнения с всевозможными параметрами, которая потом шлется роботу со специальным Subject'ом. Фишка в том, что если в сабжект впихнуть не один, а два запроса, то проверятся будет последний ящик, а информация будет выслана для второго! Так шевелим мозгами... Правильно! Высылаем два запроса: в одном сообщаем инфу о ящике жертве, во втором инфу о своем (о своем то мы все знаем )

Итак, мы хотим обломать vasya_pupkin@mail.ru
Наш ящик hacker@mail.ru пароль qwerty
Пишем письмо роботу на [moderated]
Subject: login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Т.е. первый раз вставляем в тему письма запрос о ящике-жертве - vasya_pupkin@mail.ru :
login=vasya_pupkin&pass=&answer=
А потом, через точку с запятой второй запрос, с вашими данными, которые робот проверит и убедится, что они
правильные!
login=hacker&pass=qwerty&answer=
Итого : тема сообщения выглядит вот так :
login=vasya_pupkin&pass=&answer=;login=hacker&pass=qwerty&answer=
Все, ждите пасс на ваше мыло!!!"

Mowka_Zyza

Дата: Четверг, 01.11.2007, 17:36 | Сообщение # 51

Призер школьных олимпиад

Группа: Модераторы

Сообщений: 717

Статус: Offline

круто.....

Raptor

Дата: Четверг, 01.11.2007, 17:40 | Сообщение # 52

Участник школьных Олимпиад

Группа: member 10V

Сообщений: 296

Статус: Offline

Silver,Жесть)))

Silver

Дата: Четверг, 01.11.2007, 17:40 | Сообщение # 53

Участник школьных Олимпиад

Группа: Модераторы

Сообщений: 416

Статус: Offline

Однажды мне понадобилось взломать мыло на mail.ru. Перво-наперво, конечно, забил "мыло" во все формы на Яндексе, Рамблере, Гугле и т.п. Вышло много инфы: и тебе имя, и тебе интересы, и дата рождения, и даже гражданство (да-да, представьте себе!). Ну и что с этим делать? Итак, найти: пароль или ответ на секретный вопрос (последнее не удалось найти никак). Дано: всё остальное. Решение задачи: восстановление "забытого пароля" через особую форму на mail.ru .
Пошёл я за "восстановлением". Ввёл всё правильно: ФИО, дата рождения, место жительства, короче - всё, кроме "пароля как Вы его помните" и "ответа на секр.вопрос как Вы его помните" - там я написал всякую лабуду. По идее, суть этой мэйловской формы заключается в том, что если вдруг "забыл" и пароль, и ответ на вопрос, то пароль можно восстановить, если знаешь хотя бы, как тебя зовут)). А я знал о владельце гораздо больше.
Отправил форму, и что же? Приходит сообщение: "данных, представленных Вами, недостаточно для восстановления пароля". При этом ВСЁ, кроме самого пароля и секретного вопроса, я указал 100% верно! Вопрос: зачем же тогда нужна эта форма? И решил поэкспериментировать.
Завёл себе "левый" ящик на mail.ru. Ввёл там регистрационные данные и решил "восстановить" забытый пароль через расширенную форму mail.ru . Зная, конечно, пароль и ответ на вопрос, предусмотрительно заполнил всю форму правильно, кроме пароля и ответа на вопрос. Через 3 часа приходит письмо: "данных недостаточно". Это меня очень взбесило, но я повторил свой запрос на "восстановление". И меня привлекло пояснение возле графы с паролем и ответом на вопрос: "напишите что помните, возможно просто не совпадает написание". Так-так, уже лучше!
При повторном запросе ввёл правильно свои рег. данные, а в графе "пароль" сделал следующее. У меня был истинный пароль hacker. А в форме для восстановления я указал частично совпадающее значение: HaCKoff. Два часа спустя - о чудо! приходит долгожданное письмо: Ваш запрос на восстановление пароля удовлетворён! Значит, делаем вывод: критерий для админов mail.ru при восстановлении пароля - наличие существенных совпадений в графах с паролем или ответом на вопрос с истинным паролем или ответом на вопрос.
Послал третий запрос на "восстановление" пароля. При этом указал заведомо неправильные рег. данные. Так и написал: Вася Пупкин, город Урюпинск, дата рождения - 1924 год (Тогда ещё Ленин жил). А в поле "пароль" оставил HaCKoff, частично совпадающий с истинным паролем hacker. И что Вы думаете? Мне, несмотря на все неправильные рег. данные, введённые в форме, только по частичному совпадению "пароля как я его помню" с истинным паролем - только по этому критерию!- "восстановили" забытый пароль.
Эксперименты привели к следующим выводам. При "восстановлении" пароля к чужому мылу через расширенную форму на mail.ru админы не смотрят на совпадение регистрационных данных пользователя вообще, а только оценивают степень совпадения данных в полях "Пароль как помните" и "ответ на вопрос как помните" реальной информации, и если степень совпадения достаточно велика, они "восстанавливают" пароль. Вы спросите: а зачем тогда вводить ФИО, дату рождения в этой форме? Да незачем, никто на эти данные не смотрит!
Появляется другой вопрос: какая степень совпадения "пароля и ответа как помните" в мэйловской форме будет достаточной для "восстановления"? Ещё несколько запросов я послал, и у меня получилось, что если пароль примерно на 50% по символам совпадает, админы высылают новый пароль, а если меньше - облом! В общем, безрадостная, господа, ситуация! Спрашивается: зачем нужна форма для восстановления пароля на mail.ru, если по правильно введённым рег. данным пользователя(ФИО, дата рождения и т.п.) нельзя получить пароль? Значит, плёвое это дело!
В конечном итоге мне удалось взломать интересующее меня мыло с помощью способа №8, представленного в настоящем топике. Эти админы на mail.ru стали очень строгими, даже мыло взломать не дают!)

ShadowAndDust

Дата: Четверг, 01.11.2007, 17:41 | Сообщение # 54

Отличник

Группа: member 10V

Сообщений: 80

Статус: Offline

вот что бывает, при синхронной передачи... ех.. все-таки, асинхронка рулит... хоть и дольше пашет.

Via est vita.

Dum spiro, spero.

Silver

Дата: Четверг, 01.11.2007, 17:41 | Сообщение # 55

Участник школьных Олимпиад