хорошая вещь... спасибо автору за труд. как небуть попробую. Для вконтакте хотелось бы такую же хрень.может есть ?
Насчет ВК - связываться с ним неохота Если когда-нибудь заинтересуюсь - попробую написать что-нибудь подобное для ВК, но не в ближайшее время. Вполне возможно, что у кого-то такое уже есть - ищите
я конечно не тестил- но вопрос в следующем- там-же при смене пасса- каптча?- ткните меня плиз носом где в скрипте она обходиться?
2Kusto: ну так а что тебе мешает просмотреть исходники? Или хотя бы внимательнее прочитать шапку топика. Всё дело в секретном вопросе. Планирую написать скрипт, парсящий ответ от сервера и оставляющий вопрос старым, но заменяющий ответ на него и, опционально - пароль от ящика. Если ни у кого не появится желания сделать это быстрее меня и выложить рядом
Я один это вижу? конечно я вижу исходники и строчку $p_url="http://win.mail.ru/cgi-bin/userinfo"; $p_data = "domain=&ID=&Count=&Password_Question=&Password_CustomQuestion=$qws&Password_Answer=$anv&Email=&RemindPhone=&oldPswd=$pwd&Save=+%D1%EE%F5%F0%E0%ED%E8%F2%FC+" поэтому и спросил где тут каптча передаеться? Насколько я понял счас таким образом отправляються данные (кстати мыло левое на котором проверял) domain=&ID=UprPnBej&Count=1&browserData=screen--%60top%60%3A%600%60%2C%60height%60%3A %60768%60%2C%60width%60%3A%601024%60%2C %60left%60%3A%600%60%2C%60colorDepth%60%3A %6032%60%2C%60pixelDepth%60%3A %6032%60%2C%60availWidth%60%3A . . . %28Windows%3B+ru%29%60%2C%60appCodeName . . . %60%3A%60Mozilla%60%2C%60appName%60%3A %0Aflash--%60version%60%3A%6010.0.32%60%0D %0A&Password_Question=&Password_CustomQuestion=Здесьвопрос& Password_Answer=ЗдесьОтвет&Email=&RemindPhone=&x_reg_id=regV3_Rqwansax &security_image_word=ЗДЕСЬОТВЕТНАКАПТЧУ &oldPswd=СтарыйПасс&Save=+%D1%EE%F5%F0%E0%ED%E8%F2%FC+
Считаю что данный скрипт бесполезен. Акки получаются одноразовыми 1. Не каждый юзер меняет пасс после перехода на фейк, а если же ему сменить пасс то он первый делом сообщит об этом всем свои друзьям (я бы так лично сделал) и никто спаму уже не поверит 2. Возможно пасс не сменят даже после спама - лично я чекаю акки месячной давности и неплохой выхлоп получился при повторном спаме 3. Тот же ретрив даже через полгода, для повторного проспама. 4. Дополнительный кипишь админам! Всякие блондинки их засыпят сообщениями о взломе их анкет. В общем не вижу логики менять пароль.
Ты не в теме))) Не все вконтактами интересуються)) Вообщето скрипт для мыла и отношение к соцсети неимеет никакого. P.S.Помоему он неактуален
ты конкретно не в теме))))))), что мешает тебе изменить скрипт, чтоб он не менял пароль ???? например: $NEWpwd = "$Password"; И пароль не сменится. P.S. считаю, что руникс не несет ответственности за кривые руки скрипткидди.
Приношу всем свои извинения - да, скрипт неактуален и может использоваться только как фейк для сбора логинов и паролей. Видимо, программисты mail.ru решили испортить жизнь фишерам. 2Kusto: спасибо, что открыл глаза. 2satana-fu: теперь значение $NEWpwd не имеет значения, сорри за тавтологию. скрипт будет работать как обыкновенный фейк.
2 r00nix Настоящие кодеры просто так нездаються))) Если абверы майлру прочитав твое сообщение поставили каптчу то тогда мож стоит тебе тоже сделать один шаг вперед?)))(мог бы и я доработать скрипт но это былоб как бы нарушение авторских правв)) Короче даю подсказку в нашем фишинговом письме надо просто каптчу вывести в тело письма- и написать следующий текст типа : вы или кто то другой подписались на ваш ящик на рассылку сайта gey.ru и для того чтоб подтвердить или отказаться от рассылки ВВЕДИТЕ КАПТЧУ изображонную на картинке и нажмите кнопку "Отказаться" или "Подтвердить" ну а дальше все по схеме))) Либо типа перейдите по ссылке и на другом листе фейка сделать- вы уверенны что хотите отказаться от рассылки? если да ВВЕДИТЕ КАПТЧУ и нажмите "Подтвердить" (ну что..... майловци тебе бросили вызов- дерзай))) Вот те подсказка http://win.mail.ru/cgi-bin/x_get_image?&x_reg_id=regV3_W3Zr9vca В отправке данных на сервер мы так-же можем видеть параметр x_reg_id P.S. Пользуясь случаем хочу передать работникам mail.ru огромный привет и поблагодарить их за их титанический труд))
Понимаешь в чем дело.. этот скрипт был все-таки написан не с целью облапошивания и отметания ящиков у ни в чем не повинных пользователей. Он демонстрировал одну уязвимость именно в коде mail.ru - а именно, отсутствие капчи при изменении секретного вопроса. То, что ты предлагаешь, я конечно реализую, как только выдастся пара свободных минут - но это будет уже не уязвимость сервиса, это будет уязвимость мозгов пользователей, так называемая СИ. Так можно и банковские аккаунты угонять - и часто так и делают, вместо грамотного АЗ предоставляя юзеру написанный забесценок инжект, который внешне частично изменяет поведение сервиса - просит юзера ввести дополнительную инфу etc. Моя же цель - это не обман, это указание кодерам на их ошибки. Потому и уважение к ним проявляется, когда они их таки закрывают. Но, как я уже сказал, твоя идея мне интересна, и я попробую ее реализовать)) И кстати, копирайты - это всего лишь желание остаться в памяти, весь исходный код распространяется под GPL (при необходимости могу прикрепить ее текст к исходнику).
Не нравится СИ? В чём проблема прикрутить любой из сервисов антикапчи? Капча там достаточно простая, не как при реге hotmail.com)
