This page has been robot translated, sorry for typos if any. Original content here.

Seife brechen mit BrutusAET2

MATERIAL IST FÜR WESENTLICHE ZWECKE AUFGESTELLT. AUTOR VERANTWORTLICH FÜR KEINE VERANTWORTUNG

Und so möchte ich Ihnen sagen: Wie man eine Seifenschale (E-Mail) mit dem Programm BrutusAET2 stiehlt.

Fangen wir an.

Wir werden brauchen :

1) BrutusAET2-Programm zum Knacken von Passwörtern, das hier heruntergeladen werden kann:
http://www.hoobie.net/brutus/brutus-aet2.zip

2) Wörterbücher, die hier entnommen werden können:
http://www.passwords.ru/dic.php
http://www.insidepro.com/eng/download.shtml
http://www.outpost9.com/files/WordLists.html
http://www.acolytez.com/dict/
http://www.phreak.com/html/wordlists.shtml
http://www.mobilstar.ru/files/dict/

3) Gerade Arme.

Zum Beispiel gebe ich eine Hijacker-Seife an yandex.ru.

Einrichten des BrutusAET2-Passwort-Brute-Force-Programms:

1) Öffnete das Programm.
2) In das Feld Ziel schreiben Sie pop.yandex.ru
3) Wählen Sie im Feld Typ die Option POP3

Verbindungsoptionen:

1) Port auf 110 eingestellt.
2) Wir setzen Connections auf maximal 60.
3) Zeitlimit auf maximal 60 eingestellt, d. H.


POP3-Optionen:
Nicht anfassen =)


Authentifizierungsoptionen:


Wenn wir die Liste der Seifenkisten durchgehen wollen, müssen wir ein Lehrbuch erstellen, nennen wir es users.txt, was bedeutet, dass wir die Liste der Benutzer dort ablegen.
Zum Beispiel:
Vasja_pupkin
Abcdefgh
Abcabc

Wir steigen in das Programm ein und setzen ein Häkchen neben Benutzername.

Benutzername verwenden: Geben Sie den Pfad zur Benutzerliste an.


Gehe zur Passwortliste ...
Wir erstellen die Textmaschine words.txt und setzen die Passwörter dort ab.
Zum Beispiel:
Passwort
Pass
123


Wir steigen ins Programm ein und wählen

Pass-Modus : Wortliste
Datei übergeben : Geben Sie den Pfad zur Kennwortliste an.


Es ist auch einfach, die Seifenkisten auf mail.ru zu zerbrechen. Wir haben sie einfach in Target: pop.mail.ru eingefügt und der Rest ist der gleiche.

Im Allgemeinen sollte sich alles wie im Screenshot herausstellen:
Mail hacken

einige nützliche links von mir ...

Hashes: Passwörter entschlüsseln
"Klicken Sie einmal, um den Spoiler anzuzeigen - klicken Sie erneut, um ihn auszublenden ..."


Wörterbücher:
"Klicken Sie einmal, um den Spoiler anzuzeigen - klicken Sie erneut, um ihn auszublenden ..."

links !!! Alle Links zur Welt !!!




================================================ =======================

Passworteingabemethoden für Anfänger


Methodennummer 1. "Brutus" / lang /

Die erste Methode, die wir haben werden, ist Brute (Brute Force) - eine Methode der erschöpfenden Suche.
Was Sie brauchen:
1. BrutusA2 Brute Force Programm (WWWHack oder ähnlich)
2. Kennen Sie die Posteingangsadresse (pop3) des Mail-Dienstes. Diese Adresse finden Sie in den Hilfe- oder FAQ-Abschnitten auf der Mailer-Site.
3. Ein Passwortwörterbuch (Passwords List) ist ebenfalls wünschenswert.
..
Vorteile: Das Passwort ist immer ausgewählt! (wenn nicht laut Wörterbuch, dann durch ausführliche Suche)
Nachteile: mit einer Garantie abholen - es kann mehrere Jahrtausende oder Millionen von Jahren dauern.
..
Empfehlungen:
Da Busting der längste Weg ist und um ihn irgendwie zu reduzieren, müssen Sie:
A. Gehen Sie und registrieren Sie sich eine Box auf einem Mailer, den Sie brutal werden. Achten Sie bei der Registrierung auf das Feld "Passwort". Ihre Aufgabe ist es, die Anforderungen des E-Mail-Dienstes für die minimale und maximale Kennwortlänge sowie die verwendeten Zeichen (in der Regel steht es neben dem Feld) zu ermitteln.
b) Öffnen Sie das Passwortwörterbuch (ich bevorzuge das Raptor-Programm für solche Zwecke), sortieren Sie das Wörterbuch nach Passwortlänge (von kürzer zu größer), löschen Sie Passwörter, die nicht in der Länge den Anforderungen des Mail-Dienstes entsprechen, sowie mit verbotenen Zeichen.
c) Verwenden Sie Daten aus der Methode der "Sammlung von Informationen" (siehe unten)
..
Hilfe für diejenigen, die nicht über das Internet verfügen:
Brute Force (Conversational: Brutal Translation: Brute Force) - Passwortauswahl durch Brute Force. Beispiel für "Direkte erschöpfende Suche":
aaa
aab
aac
...
zzx
zzw
zzz
usw.

Beispiel für die Aufzählung "Nach dem Wörterbuch":
abila
abott
abitz
admin
usw.
Das heißt Da viele Menschen aussagekräftige und leicht zu merkende Wörter verwenden, um sich an das Passwort zu erinnern, warum müssen wir die Zeichen lange sortieren, wenn es schneller ist, die Wörter zu sortieren?
ps Woher bekommen Sie was (in der Methode erwähnt):
BrutusA2 -> http://www.hoobie.net/brutus/brutus-download.html
Raptor -> http://madmax.deny.de/products/raptor/download.htm
pss Über häufig gewählte Passwörter - in einem anderen, separaten Artikel.



Methodennummer 2. "Sammlung von Informationen" / erfordert Aufmerksamkeit /

Was Sie brauchen:
Suchmaschinen:
http://google.ru
http://ya.ru
http://rambler.ru
http://aport.ru
http://yahoo.com
Wie es geht:
Wir hämmern unsere Seife auf die Suche und suchen, wo sie vorkommt. Wir gehen hinein und finden alles (wo es sich befindet, auf welcher Site, was ich geschrieben habe und was ich gefragt habe, wann, unter welchem ​​Login) und speichern es in einem Notizbuch zur weiteren Analyse.
Dann analysieren und ziehen wir allgemeine Schlussfolgerungen über die Interessen einer Person und versuchen, das gefundene (Geburtsjahr, Spitzname, Name, Interessen usw.) als Passwort zu ersetzen.
..
Empfehlungen:
Sie müssen alle Suchmaschinen nach der vollständigen Seife my_email@mail.ru und nur nach dem Login my_email durchsuchen
Zum Forum gelangen (seinen Benutzernamen (Spitznamen) finden): Klicken Sie mit der rechten Maustaste auf das Bild seines Avatars und sehen Sie sich den Pfad dieses Bildes an (was ist, wenn er es nicht in das Forum hochgeladen hat, sondern sein eigenes auf seiner Website liegendes verwendet hat? (Obwohl er das eines anderen nehmen könnte) )). Wir klicken auch auf sein Profil und alles, was dort ist, wird auch in den Editor kopiert (ICQ-Nummer und Geburtsjahr, Interessen usw. können dort angezeigt werden). Vergessen Sie nicht, im Profil (falls vorhanden) auf den Link "Alle Benutzernachrichten suchen" zu klicken. Lesen Sie sorgfältig. Vielleicht gibt es einen Hinweis (unter Berücksichtigung der "geheimen Frage"). Alles ist informativ und unterscheidet sich von Gyg, Lol usw. - im Editor.
Wenn wir seine zweite Seife finden, gehen wir die Suchmaschinen erneut durch.
Gleiches gilt für ICQ (in einem Kreis um Suchmaschinen). Vergessen Sie bei ICQ nicht, auf [Verbotener Link] zu schauen.
Vergessen Sie auch nicht, unter http://www.icq.com nach Seife und Spitznamen zu suchen
Wenn er einen ursprünglichen Spitznamen hat - AmSuPerrR, gehen Sie auch über die Suchmaschinen. Es ist nur so, dass es unwahrscheinlich ist, dass Sie 12 Millionen Seiten schnell sortieren, wenn er einen Standard-Spitznamen hat - Alex.
Wenn Sie wahrscheinlich eine anständige Liste mit Informationen in Ihrem Editor haben, erstellen Sie daraus eine Kennwortliste für diesen bestimmten Benutzer. Außerdem sollte versucht werden, das Geburtsjahr in verschiedenen Formaten zu ersetzen. Sie haben zum Beispiel festgestellt, dass das Geburtsjahr 01.01.2005 ist
Probieren Sie diese Optionen aus:
01012005
010105
112005
1105
Probieren Sie auch die folgenden Optionen aus (wobei my_email sein Benutzername ist):
my_email2005
my_email05
Oder:
sein Name2005
sein Name05
usw.
Ersetzen ist einfach. Kopieren Sie es einfach in den Editor, fügen Sie es in Wörter in einer Spalte ein und versuchen Sie, mehrere Optionen für jedes gefundene zu schreiben. Danach können Sie die Brutus-Methode anwenden
Sie überprüfen auch die gefundene "zweite Seife", ob sie vorhanden ist oder nicht. Es kann sich herausstellen, dass sie für eine lange Zeit registriert waren, und dann verschwand die Notwendigkeit für sie. Dann registrieren Sie es selbst und versuchen, das Passwort für Foren, Chats, Verzeichnisse usw. daraus wiederherzustellen.



Methodennummer 3. "Passwortwiederherstellung" / manchmal effektiv /

Wie es geht:
Zuerst klettern wir zum Mail-Service und klicken auf den Link "Passwort vergessen!" (oder ähnlich). Wir schauen uns an, was die geheime Frage ist.
Wenn es beispielsweise "Mein Lieblingsgericht" ist, können Sie für Mädchen versuchen, das Wort "Eis" zu ersetzen
Wenn "Geburtsjahr der Großmutter", "Passnummer", "Mädchenname der Mutter" - dann versuchen Sie 111, 123, 12345, das Geburtsjahr desjenigen, dessen Passwort "erinnert", vielleicht wird die Antwort das Jahr der Registrierung der Seife sein, na ja, usw. Da es nicht oft diejenigen gibt, die das Geburtsjahr der Großmutter kennen und sich an den Mädchennamen der Mutter erinnern. Mit einer Passnummer ist es schwieriger, da manche es wirklich nehmen und direkt hineinfahren. Aber versuchen Sie es trotzdem mit 111, 123 ...
Auch die in der "Information Collection" -Methode gesammelten Daten können Ihnen hier sehr helfen.

Hinzugefügt (Eco [L] og):
Manchmal kann eine geheime Frage ungefähr so ​​lauten: 1234567qwerty
In einigen Fällen lautet die Antwort 1234567qwerty
Oder eine ähnliche, die mit der "Clave from the Bulldozer" -Methode getippt wurde (es ist fast unrealistisch, eine aufzunehmen).



Methodennummer 4. "Wiederherstellen von einem anderen Dienst" / in Eile und Sie können das Passwort von Seife und dem Forum / Chat-Basis / nehmen

Der springende Punkt ist, dass das Passwort für die Seife schwieriger zu finden ist als das Passwort für das Forum, den Chat, den Dating-Service, das Duschjournal usw. Das heißt von den Orten, die derjenige besucht oder besucht hat, dessen Seife „wiederhergestellt“ ist. Von hier aus gehen wir alle Sites, Foren usw. durch. das fiel in unser Blickfeld mit der Methode der "Sammlung von Informationen." Wir schauen uns an, was es zum Beispiel für das Forum gibt, und wir beschränken uns bereits darauf, Schwachstellen in diesem Forum zu finden (mit demselben google.ru).
Wir haben eine Chance (keine große, aber es gibt eine Chance), dass das Passwort aus dem Forum auch mit Seife funktioniert.



Methodennummer 5. "Troyan" / Kenntnisse erforderlich /

Die Methode spricht für sich. Die Aufgabe läuft darauf hinaus, vparivaniya Troyan oder einen Keyloger-Thread (den Sie dementsprechend haben sollten) und die Erwartungen von ihnen zu melden (Protokolle).
Hier für vparivaniya Methoden "Software Vulnerabilities" und "SI / Social Engineering /" wird gut helfen



Methodennummer 6. "Software-Schwachstellen" / Erforderliche Kenntnisse /

Dies ist wahrscheinlich eher eine Hilfsmethode für die Trojaner-Methode. Um den Trojaner zu stehlen, müssen Sie sich viel Mühe geben. Es wird jedoch einfacher, wenn Sie die aktuellen Sicherheitslücken in der Software kennen. Dieselben Browser, E-Mail-Programme (Outlook, TheBat !, usw.), möglicherweise ICQ. Wenn ein Besucher über die Sicherheitsanfälligkeit im Browser auf den Trojaner zugreift und ihn startet, besteht Ihre Aufgabe darin, einen Link zu einem bestimmten Thread Ihrer Website zu optimieren. Oder senden Sie einen "hastigen" Brief.



Methodennummer 7. "Sicherheitslücke von Mail-Diensten" / erfordert auch Kenntnisse oder die Fähigkeit, eine Suchmaschine zu verwenden /

Die Methode steht in direktem Zusammenhang mit der Sicherheitsanfälligkeit von Mail-Diensten. Sie tauchen gelegentlich auf. Beginnen Sie mit dem Senden eines Briefs, in dessen Verlauf der Browser des Benutzers den Thread der Einstellungen ändert, und ändern Sie das Kennwort Ihrer Mailbox bis zum letzten Fehler beim Abfangen des Pakets (Paket) und ändern Sie das Kennwort in die gewünschte Box. Na ja usw.



Methodennummer 8. "Haben Sie Hunderte von Rubel, Freunde werden warten" / Frachtbrief. benötigt arbeit und wm-wallet /

Sie gehen zu einer Near-Hacker-Site und fordern eine Vergütung an, um das Passwort zu "erinnern". Aber hier sei vorsichtig beim Bezahlen, da viele Leute geschieden wurden (aber was geschieden wurde - das waren sie immer).
..
Empfehlungen:
Niemals Vorauskasse überweisen (niemand gibt eine 100% ige Garantie dafür, dass das Passwort nicht "erinnert" wird (genauer gesagt, manche Leute können es geben, aber es wird ihnen seitwärts angezeigt, wenn Sie es bezahlen - vorher oder nachher. Und sie nehmen es im Grunde nach Abschluss der Bestellung entgegen .))
Als Beweis, fälschen Sie nicht, dass der Brief aus der Box, die Sie benötigen, gesendet wurde.
Lassen Sie sich auch nicht sofort führen, wenn der Nachweis dem Schema entspricht:
Sie senden einen beliebigen Brief an das entsprechende Kästchen und nach einer Weile senden sie den Text dieses Briefes.
Zur Abwehr von Betrügern können Sie das Schema "durch den Garantiegeber" oder das Schema verwenden, das höher ist, jedoch leicht korrigiert:
1.Sie stimmen zu, wann Sie beide online sein werden.
2. Sie senden einen Thread an die Seife, die Sie „benötigt“ haben, und der Text MUSS Ihnen sofort mitteilen, welchen Text Sie gesendet haben.
Dann gibt es zumindest eine Garantie, dass die Seife unter Kontrolle ist. Aber mit der Überweisung von Geld - verhandeln Sie selbst.



Methodennummer 9. "Habe nicht hundert Rubel, sondern hundert Freunde" / Bekanntschaftsfähigkeit /

Es ist einfach, einen guten Freund (Administrator, Support oder besser Direktor) zu haben, der entweder im Büro arbeitet, in dem sich die Seife befindet, oder ein Hosting- / Internet-Büro zur Verfügung stellt, in dem sich die Seife befindet.
Nun, oder jemand, der aus einem Thread des FSB, FAPSI, Office "K" (P) bekannt ist und auf die Gefahr hin seine Autorität zu überschreiten, wird das Passwort vom Support des Postdienstes erfahren und Sie informieren.
Dies ist eine sehr schlechte und falsche Methode. Und fast sehr selten (und Gott sei Dank)
Oder habe einen Freund - Forum Admin, Chat, etc. wo Leute sitzen. Wenn Sie nicht vertraut sind, hindert nichts Sie daran, ihn kennenzulernen ...



Methodennummer 10. "SI / Social Engineering /" / Die genaueste Methode. benötigt die Fähigkeit, eine Aufgabe zu setzen, zu analysieren. Vorbereitung erforderlich /

Viele der zuvor beschriebenen Methoden kommen dann auf die eine oder andere Weise und schneiden sich mit dieser Methode. Dasselbe - für diese Methode sind einige dieser anderen Methoden erforderlich (z. B. "Sammeln von Informationen", "Sicherheitsanfälligkeit von Mail-Diensten" usw.).
Dies ist die umfangreichste und am weitesten verzweigte Methode. Deshalb jetzt kurz und dann werde ich es in einem separaten Artikel setzen.
Der allgemeine Punkt ist, das Seifenpasswort direkt vom Inhaber herauszufinden. Oder überreden Sie ihn, die von Ihnen benötigten Aktionen auszuführen (der gleiche garantierte Start des Troyan).
Unter "direkt vom Eigentümer lernen" versteht sich, dass der Host Ihnen das gleiche Passwort "mitteilt". Aber er wird es nicht einmal verstehen, ohne es zu wissen, er hat es dir gegeben (oder vielleicht wird er es, aber dann).
ps Über die SI-Methode und ihre Untermethoden - weiter. Artikel (wenn es einen Wunsch und ein Interesse gibt)



Methodennummer 11. "Wofür wird er so gebraucht?" / lange aber relativ einfache Methode /

Das Wesentliche der Methode ist, den Besitzer zu zwingen, das Postfach freiwillig zu verlassen (manchmal müssen Sie "wiederherstellen", um nicht zu lesen, sondern um das richtige Postfach zu haben). Dies ist jedoch einfacher. Versenden Sie in regelmäßigen Abständen Spam-Mails an diese Box. Wenn der Besitzer der Mailbox nicht allzu gut weiß, wie er solche Spam-Mails loswerden kann, wird er es nach ein paar Wochen leid, die Mailbox auszuräumen oder sie von einer Menge Briefen zu säubern, und er wird sie aufgeben. Und Postdienste sind kein Gummi. Und wenn es eine Begrenzung des Platzes für eine Box gibt und diese nicht besucht wird, wird diese Box im Laufe der Zeit gelöscht.



Und schließlich eine alternative Methode
Methodennummer 12. "Angst" / Verbrecher /

Sie fangen den Besitzer im Gateway ...

von antichat.ru