Автосмена пасса на mail.ru

Discussion in 'Уязвимости Mail-сервисов' started by r00nix, 20 Jul 2009.

  1. Yomato

    Yomato New Member

    Joined:
    9 Mar 2009
    Messages:
    2
    Likes Received:
    1
    Reputations:
    0
    хорошая вещь... спасибо автору за труд. как небуть попробую. Для вконтакте хотелось бы такую же хрень.может есть ?
     
  2. r00nix

    r00nix Banned

    Joined:
    7 May 2009
    Messages:
    48
    Likes Received:
    20
    Reputations:
    0
    Насчет ВК - связываться с ним неохота :) Если когда-нибудь заинтересуюсь - попробую написать что-нибудь подобное для ВК, но не в ближайшее время. Вполне возможно, что у кого-то такое уже есть - ищите ;)
     
  3. bublebuble

    bublebuble Elder - Старейшина

    Joined:
    15 Sep 2007
    Messages:
    102
    Likes Received:
    28
    Reputations:
    0
    Идея супер, так держать!
     
  4. Kusto

    Kusto Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    886
    Likes Received:
    678
    Reputations:
    510
    я конечно не тестил- но вопрос в следующем- там-же при смене пасса- каптча?- ткните меня плиз носом где в скрипте она обходиться?
     
  5. r00nix

    r00nix Banned

    Joined:
    7 May 2009
    Messages:
    48
    Likes Received:
    20
    Reputations:
    0
    2Kusto: ну так а что тебе мешает просмотреть исходники? :) Или хотя бы внимательнее прочитать шапку топика. Всё дело в секретном вопросе.

    Планирую написать скрипт, парсящий ответ от сервера и оставляющий вопрос старым, но заменяющий ответ на него и, опционально - пароль от ящика. Если ни у кого не появится желания сделать это быстрее меня и выложить рядом ;)
     
  6. Kusto

    Kusto Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    886
    Likes Received:
    678
    Reputations:
    510
    Я один это вижу?
    [​IMG]
    конечно я вижу исходники и строчку

    $p_url="http://win.mail.ru/cgi-bin/userinfo";
    $p_data = "domain=&ID=&Count=&Password_Question=&Password_CustomQuestion=$qws&Password_Answer=$anv&Email=&RemindPhone=&oldPswd=$pwd&Save=+%D1%EE%F5%F0%E0%ED%E8%F2%FC+"

    поэтому и спросил где тут каптча передаеться?
    Насколько я понял счас таким образом отправляються данные (кстати мыло левое на котором проверял)

    domain=&ID=UprPnBej&Count=1&browserData=screen--%60top%60%3A%600%60%2C%60height%60%3A

    %60768%60%2C%60width%60%3A%601024%60%2C

    %60left%60%3A%600%60%2C%60colorDepth%60%3A

    %6032%60%2C%60pixelDepth%60%3A

    %6032%60%2C%60availWidth%60%3A
    .
    .
    .
    %28Windows%3B+ru%29%60%2C%60appCodeName
    .
    .
    .
    %60%3A%60Mozilla%60%2C%60appName%60%3A

    %0Aflash--%60version%60%3A%6010.0.32%60%0D

    %0A&Password_Question=&Password_CustomQuestion=Здесьвопрос&
    Password_Answer=ЗдесьОтвет&Email=&RemindPhone=&x_reg_id=regV3_Rqwansax
    &security_image_word=ЗДЕСЬОТВЕТНАКАПТЧУ
    &oldPswd=СтарыйПасс&Save=+%D1%EE%F5%F0%E0%ED%E8%F2%FC+
     
    #26 Kusto, 29 Oct 2009
    Last edited: 29 Oct 2009
  7. m0nstrik

    m0nstrik Elder - Старейшина

    Joined:
    23 Jul 2008
    Messages:
    0
    Likes Received:
    11
    Reputations:
    0
    Считаю что данный скрипт бесполезен. Акки получаются одноразовыми

    1. Не каждый юзер меняет пасс после перехода на фейк, а если же ему сменить пасс то он первый делом сообщит об этом всем свои друзьям (я бы так лично сделал) и никто спаму уже не поверит
    2. Возможно пасс не сменят даже после спама - лично я чекаю акки месячной давности и неплохой выхлоп получился при повторном спаме ;)
    3. Тот же ретрив даже через полгода, для повторного проспама.
    4. Дополнительный кипишь админам! Всякие блондинки их засыпят сообщениями о взломе их анкет.

    В общем не вижу логики менять пароль.
     
    #27 m0nstrik, 29 Oct 2009
    Last edited: 29 Oct 2009
  8. Kusto

    Kusto Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    886
    Likes Received:
    678
    Reputations:
    510
    Ты не в теме))) Не все вконтактами интересуються)) Вообщето скрипт для мыла и отношение к соцсети неимеет никакого.
    P.S.Помоему он неактуален
     
  9. Uex Urgent

    Uex Urgent Злостный Смайлик

    Joined:
    6 Feb 2009
    Messages:
    236
    Likes Received:
    463
    Reputations:
    452
    ты конкретно не в теме))))))), что мешает тебе изменить скрипт, чтоб он не менял пароль ????

    например:
    $NEWpwd = "$Password";

    И пароль не сменится.

    P.S. считаю, что руникс не несет ответственности за кривые руки скрипткидди.
     
    _________________________
    #29 Uex Urgent, 29 Oct 2009
    Last edited: 29 Oct 2009
  10. r00nix

    r00nix Banned

    Joined:
    7 May 2009
    Messages:
    48
    Likes Received:
    20
    Reputations:
    0
    Приношу всем свои извинения - да, скрипт неактуален и может использоваться только как фейк для сбора логинов и паролей. Видимо, программисты mail.ru решили испортить жизнь фишерам.
    2Kusto: спасибо, что открыл глаза.
    2satana-fu: теперь значение $NEWpwd не имеет значения, сорри за тавтологию. скрипт будет работать как обыкновенный фейк.
     
    1 person likes this.
  11. Kusto

    Kusto Elder - Старейшина

    Joined:
    4 Feb 2007
    Messages:
    886
    Likes Received:
    678
    Reputations:
    510
    2 r00nix Настоящие кодеры просто так нездаються))) Если абверы майлру прочитав твое сообщение поставили каптчу то тогда мож стоит тебе тоже сделать один шаг вперед?)))(мог бы и я доработать скрипт но это былоб как бы нарушение авторских правв)) Короче даю подсказку в нашем фишинговом письме надо просто каптчу вывести в тело письма- и написать следующий текст типа : вы или кто то другой подписались на ваш ящик на рассылку сайта gey.ru и для того чтоб подтвердить или отказаться от рассылки ВВЕДИТЕ КАПТЧУ изображонную на картинке и нажмите кнопку "Отказаться" или "Подтвердить" ну а дальше все по схеме)))

    Либо типа перейдите по ссылке и на другом листе фейка сделать- вы уверенны что хотите отказаться от рассылки? если да ВВЕДИТЕ КАПТЧУ и нажмите "Подтвердить"
    (ну что..... майловци тебе бросили вызов- дерзай)))

    Вот те подсказка http://win.mail.ru/cgi-bin/x_get_image?&x_reg_id=regV3_W3Zr9vca
    В отправке данных на сервер мы так-же можем видеть параметр x_reg_id
    P.S. Пользуясь случаем хочу передать работникам mail.ru огромный привет и поблагодарить их за их титанический труд))
     
    #31 Kusto, 31 Oct 2009
    Last edited: 31 Oct 2009
  12. r00nix

    r00nix Banned

    Joined:
    7 May 2009
    Messages:
    48
    Likes Received:
    20
    Reputations:
    0
    Понимаешь в чем дело.. этот скрипт был все-таки написан не с целью облапошивания и отметания ящиков у ни в чем не повинных пользователей. Он демонстрировал одну уязвимость именно в коде mail.ru - а именно, отсутствие капчи при изменении секретного вопроса. То, что ты предлагаешь, я конечно реализую, как только выдастся пара свободных минут - но это будет уже не уязвимость сервиса, это будет уязвимость мозгов пользователей, так называемая СИ. Так можно и банковские аккаунты угонять - и часто так и делают, вместо грамотного АЗ предоставляя юзеру написанный забесценок инжект, который внешне частично изменяет поведение сервиса - просит юзера ввести дополнительную инфу etc. Моя же цель - это не обман, это указание кодерам на их ошибки. Потому и уважение к ним проявляется, когда они их таки закрывают.
    Но, как я уже сказал, твоя идея мне интересна, и я попробую ее реализовать)) И кстати, копирайты - это всего лишь желание остаться в памяти, весь исходный код распространяется под GPL (при необходимости могу прикрепить ее текст к исходнику).
     
  13. lmns

    lmns Elder - Старейшина

    Joined:
    21 Feb 2007
    Messages:
    195
    Likes Received:
    111
    Reputations:
    8
    Не нравится СИ? В чём проблема прикрутить любой из сервисов антикапчи? Капча там достаточно простая, не как при реге hotmail.com)
     
  14. donald_666

    donald_666 New Member

    Joined:
    24 Oct 2007
    Messages:
    6
    Likes Received:
    3
    Reputations:
    0
    майл.ру уже пафиксили эту штукенцию( а жаль(