Уязвимость Gmail через hydra

Всем доброго времени суток.

Мне захотелось проверить, смогу ли я получить доступ к gmail аккаунту с помощью hydra.
К примеру: у меня есть тестовый аккаунт на gmail, я знаю и логин и пароль. Создаю тестовый wordlist, куда кидаю различные варианты паролей, в том числе и правильный. Далее выполняю команду:

hydra smtp.gmail.com smtp -l мойлогин@gmail.com -P мойвордлист.txt -s 465 -S -v -V

Все успешно отрабатывает, но результат такой:
...
1 0f 1 target completed, 0 valid passwords found

То есть нужная пара не найдена, хотя она там есть, это точно.
У меня собственно вопрос: я что-то не так делаю или данный способ не рабочий? Заранее спасибо за ответ.

 

может гидра заголовки отдает которые gmail не любит?

 

Попробуй взломать гмаил чере склмап - полюбому получится! Там (в гугле) же идиоты сидят которые понятия не имеют что такое брут и скл-инъекции. Набыдлокодили каких-то там сайтиков (гмаил, гугл мапс) и катают вату за большие бабки.
Вообще ТСу зачёт, идея брутить гмаил сама по себе гениальна.

Кстати, у меня крякер интернета пентагон почему-то не взламывает, никто не знает этот способ уже нерабочий или я что-то не так делаю?

 

Ответить нормально религия не позволяет?

 

Я не пробую перебрать сотни паролей. Меня интересует чисто работоспособность.

 

Тут адекваты вообще есть? Или только обиженные жизнью люди?

 

Адекваты есть. Но их религия позволяет отвечать только на адекватные вопросы.

Ответ на твой вопрос: сейчас защиту от брута и флуда даже я на свои скриптики самодельного блога ставлю. И поверь, ты не далеко не единственный человек в мире, кому пришло в голову брутить почтовый ящик, особенно на гмайле. Поэтому ты не думай, что люди в компании которая обслуживает 50% населения Земли настолько тупые, чтоб не знать о переборе паролей и не заметить его.

 

Я это прекрасно знаю, но насколько я понимаю алгоритмы которые противостоят бруту (полного перебора), отрабатывают после определенного количества попыток. Мне была интересна сама команда. То ничтожное количество паролей что я закинул в вордлист, я мог за 30 сек. сам через в форму гугловую ввести, и не какой алгоритм бы в эти попытки не вмешивался. Мало того, там даже никакой капчи не будет. Я даже пробовал как параметр передавать 1 пароль, без подключения словаря. Результат прежний. Почему тогда возникает проблема?

 

На этот вопрос ответить можно только экспериментальным путём. Никто здесь не станет брутить ящик и выяснять причины почему это не работает. Соединение шифруется по ссл и чтобы понять причину проблемы надо его дешифровать и смотреть на обмен данными с смтп-сервером. А это геморно.
Без шифрования почтовые серверы гугла не работают (а зря). Возможно у гмайла стоит минимальный интервал между попытками авторизации, например 3 секунды а гидра брутит без интервалов максимально быстро.
Кроме того, по дефолту smtp/pop3/imap на всех ящиках гмайла отключены. Бесполезно пытаться выполнить smtp-авторизацию на ящике с отключенным smtp - она не пройдёт. Чтобы появилась возможность брута надо включить smtp в настройках почтового ящика.
Если тебе так уж хочется проверить программу в идеальных лабораторных условиях: сделай список паролей из одного пароля, предварительно отправь по smtp письмо через почтовый клиент и удостоверься что оно доходит.

 

Я понял, спасибо. Самая вероятная причина с интервалом. Так как smtp imap 100% включены. Возможно по дефолту и отключены, но я зашел 2 разных мыла и они включены, хотя специально я их не включал. Если они отключены, как тогда другими почтовыми клиентами пользоваться? К примеру забрать почту с телефона? Я не думаю, что сейчас много людей, которые забирают почту только стандартным путем.

 

Сама по себе команда скорее всего не приминима в данной ситуации. Запустил еще раз, выдало что все гуд, пароль к мылу найден. Но это не тот пароль что я ставил. То есть, он из словаря, но он не верен.

 

Вам уже ответили.. Gmail брутить бесполезно , для взлома мыл используют СИ

 

Немного не в тему будет сказано, но всё же. Я бы скептически относился к Hydra.
Полгода назад я изучал модуль Hydra, который брутит SSH, и выяснил замечательную вещь: он не работает. И это при том, что в интернете было достаточно большое количество туториалов, в которых демонстрировали успешное использование данного модуля. В модуле был критический баг, приводивший к его полной неработоспособности почти на всех реальных словарях (в туториалах, наоборот, использовались вырожденные примеры, на которых Hydra успешно отрабатывала).

 

Очевидно зайти и включить их)
И что мешает чекнуть почту с телефона через браузер?

 

на гмайл после около 300-500 попыток подбора пароля, выдает ответ слишком много попыток входа, попробуйте позже

 

А что в этом удивительного?