Методы "вспоминания" пароля (от мыла)

Discussion in 'Уязвимости Mail-сервисов' started by censored!, 9 Oct 2005.

  1. Славик

    Славик Elder - Старейшина

    Joined:
    13 Oct 2006
    Messages:
    16
    Likes Received:
    49
    Reputations:
    0
    Ну извените, а я и не говорил что он новый
     
    3 people like this.
  2. Zeratull

    Zeratull Elder - Старейшина

    Joined:
    22 Nov 2006
    Messages:
    51
    Likes Received:
    6
    Reputations:
    5
    и спрашиваешь: какой ответ на секретный вопрос от твоего ящика!! а ну говори, ****!))) LoL
     
  3. Seferl

    Seferl New Member

    Joined:
    31 Oct 2006
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Спасибо ! Я когда забываю пароль я просто пишу если вы забыли пароль и.т.д..
     
  4. INKOGNITO-SHADOW

    INKOGNITO-SHADOW New Member

    Joined:
    6 Jan 2007
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    A kak naschet YANDEX s "vspominaniem" ?
     
  5. Revers

    Revers Member

    Joined:
    18 May 2006
    Messages:
    18
    Likes Received:
    6
    Reputations:
    1
    Если у чела секретный вопрос любимая еда, то лучше всего попробовать ответить мясо, курица, оливье, пельмени, или картошка фри, в анкетах на сайтах знакомств смотрел, чаще всего это встречается из любимой еды...
     
    2 people like this.
  6. userdron

    userdron New Member

    Joined:
    17 Jan 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Привет всем! Подскажите, можно зайти на ящик зная секретное слово и при этом не меняя старый пароль????
     
  7. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Нет.

    Ящик на каком сервисе? Просто смени пароль и настрой пересылку копий к себе.
    Владелец потыркавшись также востановит через секретное и сменит пароль. А ты уже будешь на другом ящике читать пересылаемые письма.
    p.s. в Маил_Ру настраивай через фильтры. Менее палевно будет чем просто через Переадресация
     
    _________________________
  8. userdron

    userdron New Member

    Joined:
    17 Jan 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    На маил.ру, но это будет заметно, могут и догадаться!
     
  9. userdron

    userdron New Member

    Joined:
    17 Jan 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Тем более для настройки переадресации нужно знать пароль :(
     
  10. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Не догадаются.
    И тем более если заранее предупредишь, написав письмо (типа от маил_ру) что такого-то числа будет переезд на новые сервера и возможна нестабильная работа почты. Переезд на мощные сервера, предоставленые компанией Интел, дадут возможность бла-бла-бла.

    Так ты же его знаешь (когда сбросишь пароль через секретный вопрос - введешь новый пароль.)
     
    _________________________
  11. userdron

    userdron New Member

    Joined:
    17 Jan 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Точно, яж его поменяю :) запарился просто. Наверное так и сделаю, хотя хочется почише.
     
  12. userdron

    userdron New Member

    Joined:
    17 Jan 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Слушай censored!, а ты пробовал через снифер, я пробывал такую штучку, посылаеш ссылку со скриптом, юсер тыкает, на снифер отправляется кук (кукис) как там его правильно, ну вот, потом типа можно по нему зайти на ящик, но не получается, я думаю можно ввести этот кук, но только на компе юзера, и тогда просто откроется письмо, котороя он уже открывал и ты получаеш доступ к ящеку
     
  13. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Надо сразу же, так как потом сессия устаревает.

    Обычно делают:
    При получении кук снифером - они передаются скрипту, он сразу же заходит, настраивает пересылку, а потом выгребает все письма (с записью в лог). Выгребать надо, так как если пользователь заходит на почту через web-интерфейс то у него там могут быть хранится письма о других регистраций и пароль может совпадать (и часто совпадает).

    Зная только ответ на секретный вопрос - по-другому не получится.
     
    _________________________
    1 person likes this.
  14. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Зачем выпускать столько газет - которые освещают одни и те же новости? Почему востребованы дайджесты - где собирается все самое основное, а не новости для трех человек?
    Зачем иметь столько сайтов - когда на них тоже все одно и то же и часто - допотопное.

    Статья - это подведение автором итогов и собрание все воедино (не просто где-то прочитал и перепечатал, а осмыслено и опробовано). Т.е. считай это дайджест.

    Запусти поиск по форуму и узнаешь, что многие эти миллионы статей не читало.
    А статья - это ссылка на нее. И когда в очередной раз на форуме спросят -" я новичек - как сломать мыло", есть возможность дать ссылку на нее, а не в сотый раз все заново разжевывать. Т.е. тут считай что статья - это faq.
     
    _________________________
  15. bezpaniki

    bezpaniki New Member

    Joined:
    5 Feb 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    из прочитанного возникли некоторые мысли, которые могут сработать... натолкнул на меня этот ответ:
    мое предположение по дальнейшим действиям - юзер через пару минут восстанавливает пароль, а мы даем запрос на восстановление, используя пароль RtyUor56Y$P. В комментах можно написать, типа изменил на этот, потом на какой-то другой и не могу вспомнить на какой... Должно сработать. По идее в базе хранятся все пароли, так что и админы могут принять за правду.
    Можно добавить известные уже данные типа год рождения, фио, но как выше писАлось, это не так важно...

    А теперь мои эксперементы с воровством паролей.

    Для тех, кто не шарит в пхп:
    1) регим мыло типа [email protected]
    берем уже известную ссылку http://sekrets.eu/anonim.php?c=text , пишем юзеру письмо стекстом типа того, что выше, только пользователь должен отправить письмо на мыло [email protected] , вставив в тему пароль без кавычек, где 34457267 - id его ящика в общей базе.
    В письме желательно использовать ФИО человека (если конечно есть), так кпд повышается.

    Для тех, кто шарит в пхп:
    2) Регим хостинг, поддерживающий пхп, заливаем туда скрипт для рассылки писем по базе, заливаем базу мыл, отправляем тысячам пользователей точно такое же письмо, но уже не используя фио... Тут кпд ниже, но благодаря тому, что отправляем сразу множеству юзеров, результат будет выше.

    В обоих случаях на мыло лучше вешать переадресацию на другой ящик, т.к. живет этот аккаунт обычно недолго.

    ПС: в 25% случаев пароль очень тесно связан с датой рождения (у девушек в 40%).
    ППС: я никогда не использовал полученных данных во вред юзеру, чего и вам желаю.
     
  16. web_slayer

    web_slayer New Member

    Joined:
    26 Dec 2006
    Messages:
    15
    Likes Received:
    3
    Reputations:
    0
    shizik и где вас столько развелось?
    В поиск. Для тех кто в танке:
    www.google.ru
    www.yandex.ru
    www.rambler.ru
    www.aport.ru
    Там в окошко пишешь: BrutusAET2 и Password List (Словари для брута).
    И в таком и в таком случае дадут уйму ссылок, так что не ленись и приступай к бруту.
    Автор статья классная. Лови +.
     
  17. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Обычно нужно какое-то определенное мыло, а не куча случайных.

    Согласен. Дату рождения указывают много и часто (в разных форматах)
     
    _________________________
  18. bezpaniki

    bezpaniki New Member

    Joined:
    5 Feb 2007
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Блин, я туплю по черному... Подобрал к ящику ответ на вопрос, мне пишут, что письмо отправлено на указанный в регистрации имэйл. Возможно ли на рамбнере восстановить, не зная этого ящика?
     
  19. w99ter1unit

    w99ter1unit New Member

    Joined:
    30 Jan 2007
    Messages:
    5
    Likes Received:
    3
    Reputations:
    0
    Думаю врядли)

    Это как вариант...А если пароль 9dsf73S7sBP???
    Я только лишь хочу сказать что про соц. инженерию забывать нестоит...
     
  20. web_slayer

    web_slayer New Member

    Joined:
    26 Dec 2006
    Messages:
    15
    Likes Received:
    3
    Reputations:
    0
    А кто сказал, что я забыл про СИ?
    Честно сказать я только им и пользуюсь. Если и это не канает то = брутус.
    А если так, то трой вам в руки.