Ломаем вместе почту на Mail.ru Rambler.ru

Discussion in 'Уязвимости Mail-сервисов' started by calcell, 12 Aug 2005.

  1. calcell

    calcell New Member

    Joined:
    8 Aug 2005
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Вот столкнулся с проблемой:
    хотел взломать мыло на Mail.ru, да вот незадача -
    1. способ описанный на http://antichat.ru/txt/hmail/ теперь на работает, т. к. сервер всеравно требует ввести пароль, что бы хохранить данные.
    2. Украсть пароль методом редирекиа на свой сайт с заведомо заготовленной страницей ввода пароля (типа ваши логин и пароль введены не верно, попробуйте еще раз на подсиавном сайте) тоже не получается, т.к. редирект просто напросто не происходит.
    3. Соц. инженерия тоже не вариант, т.к. зачастую вопросом является девичья фамилия, ответом на который является что то типа qwer или фыва или 12345. Короче ответа может не помнить даже сам хозяин ящика.

    Так вот если есть у кого какие нибудь размышления по этому поводу - пишите, может вместе что нибудь придумаем..

    P.S. Скажите, а как взломать почту на Ramblere?
     
  2. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Размышления то у каждого есть. И у каждого свои способы. Но, просто, если хочешь чтобы бага проработала большее количество времени - желательно в это посвятить узкий круг людей.
    ...
    p.s. на паблик выкладывали способ. по-моему он на маил_ру еще пашет. воспользуйся поиском. если не пашет - попробуй подумать как подправить чтоб пахал.

    Да, большинство описаных тобой методов будут работать если чел почту смотрит через веб. Но если он почту забирает почтовиком - то работать не будет.

    Опять же - еще никто не отменял метод "а мы пойдем другим путем". Не получается взять его почту, попробуй поискать о нем инфу в инете. Возможно ты возьмешь Форум на котором он сидит. И если повезет - то пароль от Форума подойдет к мылу.
     
    _________________________
  3. calcell

    calcell New Member

    Joined:
    8 Aug 2005
    Messages:
    7
    Likes Received:
    0
    Reputations:
    0
    Вот сидел я тут думал и у меня промелькнула одна мысль, толь незнаю, можно ли ее воплотить в реальность, а если можно, то не пойму как. Так вот собственно мысль:
    на Mail.ru в настройках почтового ящика есть такая страничка как "Данные для восстановления пароля", там есть "восстановление пароля", где предлагается ввести сексетный вопрос и дать на него ответ, который потом будет использоваться для восстановления пароля. Так вот на этой страничке гв графе "Ответ на вопрос" вместо букв стоят звездочки. Так вот, что если каким нибудь образом стащить эту страничку и сохранить ее у себя, а потом эти звездочки раскрыть????
     
  4. qBiN

    qBiN Вот такой вот я :(

    Joined:
    20 Jan 2005
    Messages:
    834
    Likes Received:
    73
    Reputations:
    33
    Раскрываю,там написано "********"
    +)))))))))))))))
     
  5. -=ToYs=-

    -=ToYs=- New Member

    Joined:
    23 Jul 2005
    Messages:
    48
    Likes Received:
    0
    Reputations:
    0
    Отвечаю на вопрос: Нет не получится..... Соц. инженерию никто не отменял
     
  6. NIGHT_WOLF

    NIGHT_WOLF Member

    Joined:
    17 Aug 2005
    Messages:
    192
    Likes Received:
    17
    Reputations:
    2
    Если незнаешь новых дырок, то посмотри где бывает пользователь может найдёшь форум или сайт где он зарегестрирован, и если там окажеться баг то стыришь пароль, а если повезёт то этот пароль подойдёт к почте.
     
  7. blk-240

    blk-240 New Member

    Joined:
    18 Mar 2005
    Messages:
    16
    Likes Received:
    0
    Reputations:
    0
    У меня один раз случай был,короче на мэйл ру если неправильно ответишь на секретный вопрос предлагают заполнить форму,ну я знал город,дату рождения ,возраст и пол,остальные данные написал от балды,ответ на секретный вопрос вписал тот который не подошел и какого же было мое удивление когда на следующий день система выслала мне пароль к ящику!Решил попробовать еще раз,выманил у других людей теже данные,вписал в форму,отправил,но к сожалению пароли больше не приходили,писали что недостаточно данных для восстановления пароля.Почему тогда система выслала мне пароль,никак не пойму?
     
  8. NIGHT_WOLF

    NIGHT_WOLF Member

    Joined:
    17 Aug 2005
    Messages:
    192
    Likes Received:
    17
    Reputations:
    2
    Насколько я знаю данные из формы проверяет не система, а админы. Просто повезло у админа было хорошее настроение.
     
  9. mkw

    mkw New Member

    Joined:
    31 Aug 2005
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    хех А мож все скинемся на общак чтоб стимул был и тот кто первый сломает получит басо??? А что идея!
     
  10. mkw

    mkw New Member

    Joined:
    31 Aug 2005
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
    Это не система а Админы и консультанты... система вышлет только если ты правельно ответишь на вопрос...