This page has been robot translated, sorry for typos if any. Original content here.

Wir brechen Seife, wir verwenden BrutusAET2

MATERIAL IST FÜR WESENTLICHE ZWECKE EINGESETZT. DER AUTOR ÜBERNIMMT KEINE VERANTWORTUNG

Und so möchte ich Ihnen sagen: wie Sie eine Seifenkiste (E-Mail) mit dem Programm BrutusAET2 hijacken.

Fangen wir an.

Wir werden brauchen :

1) Das Programm für die Partition von Passwörtern BrutusAET2, das hier heruntergeladen werden kann:
http://www.hoobie.net/brutus/brutus-aet2.zip

2) Wörterbücher, die hier entnommen werden können:
http://www.passwords.ru/dic.php
http://www.insidepro.com/eng/download.shtml
http://www.outpost9.com/files/WordLists.html
http://www.acolytez.com/dict/
http://www.phreak.com/html/wordlists.shtml
http://www.mobilstar.ru/files/dict/

3) Gerade Arme.

Zum Beispiel werde ich Entführung mylnik @ yandex.ru geben.

Setup des Programms für eine Partition von Passwörtern von BrutusAET2:

1) Öffnete das Programm.
2) In das Feld Ziel schreiben wir pop.yandex.ru
3) Wählen Sie im Feld Typ die Option POP3

Verbindungsoptionen:

1) Anschlusssatz 110.
2) Verbindungen auf maximal 60 eingestellt.
3) Timeout auf maximal 60 eingestellt


POP3-Optionen:
Nicht anfassen =)


Authentifizierungsoptionen:


Wenn wir die Liste der Seifenkisten optimieren möchten, müssen wir ein Lehrbuch erstellen. Nennen wir es users.txt. Das bedeutet, wir werfen Listen von Benutzern ein.
Zum Beispiel:
Vasja_pupkin
Abcdefgh
Abcabc

Wir steigen in ein Programm ein und setzen dort ein Häkchen bei Benutzername.

Benutzername verwenden: Geben Sie den Pfad zur Benutzerliste an.


Gehe zur Passwortliste ...
Erstellen heißt textovik words.txt und dort schieben wir Passwörter.
Zum Beispiel:
Passwort
Pass
123


Wir steigen ins Programm ein und wählen

Pass-Modus : Wortliste
Datei übergeben : Geben Sie den Pfad zur Kennwortliste an.


Es ist auch einfach, mylniki auf mail.ru zu unterbrechen, indem Sie einfach Target: pop.mail.ru eingeben, und der Rest ist egal.

Im Allgemeinen sollte alles wie im Screenshot funktionieren:
Mail hacken

einige nützliche links von mir ...

Hashes: Passwörter entschlüsseln
"Klicken Sie einmal, um einen Spoiler anzuzeigen - klicken Sie erneut, um ihn auszublenden ..."


Wörterbücher:
"Klicken Sie einmal, um einen Spoiler anzuzeigen - klicken Sie erneut, um ihn auszublenden ..."

Links !!! Alle Verweise auf die Welt !!!




=============================================== =====================

neue Methoden zur Passwortwiederherstellung


Methodennummer 1. "Brutus" / lang /

Die erste Methode, die wir haben werden, ist Brutus (Brute Force) - eine Brute Force-Methode.
Was Sie brauchen:
1. Programm für Brute Force BrutusA2 (WWWHack oder ähnlich)
2. Kennen Sie die Adresse der eingehenden Mail (Pop3) des Mail-Dienstes. Diese Adresse finden Sie in den Hilfe- oder FAQ-Abschnitten auf der Website des Mailers.
3.Auch das gewünschte Passwortwörterbuch (Passwortliste)
..
Vorteile: Das Passwort wird immer ausgewählt! (Wenn nicht im Wörterbuch, dann brute force)
Nachteile: Garantiert zu finden - es kann mehrere Jahrtausende oder Millionen von Jahren dauern.
..
Empfehlungen:
Da rohe Gewalt der längste Weg ist und um sie irgendwie zu reduzieren, ist es notwendig:
A. Registrieren Sie sich ein Postfach auf dem Postfach, das Sie wiedergeben können. Achten Sie bei der Registrierung auf das Feld "Passwort". Ihre Aufgabe ist es, die Anforderungen des Postdienstes an die minimale und maximale Passwortlänge sowie die verwendeten Zeichen zu ermitteln (neben dem Feld wird es normalerweise so geschrieben).
Öffnen Sie das Passwortwörterbuch (ich bevorzuge das Raptor-Programm für solche Zwecke), sortieren Sie das Wörterbuch nach Passwortlänge (von kürzer zu länger), entfernen Sie Passwörter, die nicht in der Länge den Anforderungen des Postdienstes entsprechen, sowie mit verbotenen Zeichen.
v.Verwenden Sie Daten aus der Methode "Informationen sammeln" (siehe unten)
..
Hilfe für diejenigen, die kein Internet haben:
Brute Force (gesprochen: Brutus): Auswahl der Brute Force - Brute Force. Beispiel für Brute Force:
aaa
aab
aac
...
zzx
zzw
zzz
usw.

Beispiel für die Iteration "Nach Wörterbuch":
abila
abott
abitz
admin
usw.
Dh Da viele Menschen aussagekräftige und leicht zu merkende Wörter verwenden, um sich ein Passwort zu merken, warum sollten wir Zeichen lange durchgehen, wenn wir Wörter schneller sortieren wollen?
ps Wohin nehmen (in der Methode erwähnt):
BrutusA2 -> http://www.hoobie.net/brutus/brutus-download.html
Raptor -> http://madmax.deny.de/products/raptor/download.htm
pss Über häufig gewählte Passwörter - in einem anderen, separaten Artikel.



Methodennummer 2. "Informationen sammeln" / erfordert Aufmerksamkeit /

Was Sie brauchen:
Suchmaschinen:
http://google.ru
http://ya.ru
http://rambler.ru
http://aport.ru
http://yahoo.com
Wie wir machen:
Auf der Suche hämmern wir unsere Seife ein und suchen, wo sie sich trifft. Wir gehen und alles, was wir finden (wo es auftritt, auf welcher Site, was es geschrieben hat und was es gefragt hat, wann, unter welchem ​​Login), kopieren und speichern es in einem Notizbuch zur weiteren Analyse.
Danach analysieren und ziehen wir allgemeine Schlussfolgerungen über die Interessen der Person und versuchen, das gefundene (Geburtsjahr, Spitzname, Name, Interessen usw.) als Passwort zu finden.
..
Empfehlungen:
Es ist notwendig, nach allen Suchmaschinen zu suchen, wie nach full soap my_email@mail.ru und nur nach login my_email
Auf das Forum zugreifen (Anmeldedaten (Spitzname)): Klicken Sie mit der rechten Maustaste auf das Bild seines Avatars und sehen Sie sich den Pfad dieses Bildes an (was wäre, wenn er es nicht in das Forum hochgeladen, sondern sein eigenes auf seiner Website verwendet hätte?) )). Wir klicken auch auf sein Profil und alles, was dort ist - kopieren Sie es auch in den Editor (es kann eine ICQ-Nummer und ein Geburtsjahr, Interessen usw. geben). Vergessen Sie nicht, im Profil (falls vorhanden) auf den Link "Alle Beiträge nach Benutzer suchen" zu klicken. Sorgfältig lesen. Vielleicht gibt es einen Hinweis (unter Berücksichtigung der "Geheimen Frage"). Alles ist informativ und unterscheidet sich von "Gyg", "Lol" usw. - im Editor.
Wenn wir seine zweite Seife finden, gehen wir noch einmal durch die Suchmaschinen.
Gleiches gilt für ICQ (in einem Kreis bei Suchmaschinen). Vergessen Sie bei ICQ nicht, auf [Verbotener Link] zu schauen.
Vergessen Sie auch nicht, unter http://www.icq.com nach Seife und Spitznamen zu suchen
Wenn er einen ursprünglichen Spitznamen hat - AmSuPerrR, gehen Sie auch über Suchmaschinen. Es ist nur so, dass wenn er einen Standard-Spitznamen hat - Alex - Sie kaum 12 Millionen Seiten aussortieren können (obwohl Sie versuchen können, die Syntax von Suchanfragen zu verwenden und "Suche in Gefunden" zu sortieren).
Wenn Sie in Notepad möglicherweise eine anständige Liste von Informationen gesammelt haben, beginnen Sie damit, um eine Kennwortliste für diesen Benutzer zu erstellen. Außerdem muss versucht werden, das Geburtsjahr in verschiedenen Formaten zu ersetzen. Sie haben beispielsweise festgestellt, dass das Geburtsjahr 01.01.2005 ist
Probieren Sie diese Optionen aus:
01012005
010105
112005
1105
Probieren Sie auch die folgenden Optionen aus (wobei my_email sein Login ist):
my_email2005
my_email05
Oder:
sein Name ist 2005
sein Name05
usw.
Einfach austauschen. Einfach in Notepad kopieren, nach Wörtern in einer Spalte "zerlegen" und versuchen, für jeden gefundenen mehrere Optionen zu schreiben. Danach können Sie die Brutus-Methode anwenden.
Außerdem überprüfen Sie die gefundenen "zweiten Seifen", ob sie vorhanden sind oder nicht. Es kann sich herausstellen, dass sie vor langer Zeit registriert wurden und dann nicht mehr notwendig waren. Dann registrieren Sie sich selbst und versuchen, das Passwort aus Foren, Chats, Verzeichnissen usw. wiederherzustellen.



Methodennummer 3. "Passwortwiederherstellung" / manchmal effektiv /

Wie wir machen:
Zuerst steigen wir zur Post und klicken auf den Link "Passwort vergessen!" (oder ähnlich). Wir schauen, was es eine geheime Frage gibt.
Wenn es zum Beispiel „Mein Lieblingsgericht“ ist, können Sie bei Mädchen versuchen, das Wort Eis zu ersetzen
Wenn "Geburtsjahr der Großmutter", "Passnummer", "Mädchenname der Mutter" - dann versuchen Sie 111, 123, 12345, das Geburtsjahr Ihres Passworts "erinnern", wird die Antwort möglicherweise das Jahr der Registrierung von Seife usw. sein. Da es nicht oft diejenigen sind, die das Geburtsjahr der Großmutter kennen und sich an den Mädchennamen der Mutter erinnern. Mit der Passnummer wird es schwieriger, da manche es wirklich nehmen und es geradeaus durchfahren. Aber versuchen Sie immer noch 111, 123 ...
Auch die in der Methode "Sammeln von Informationen" gesammelten Daten können Ihnen hier weiterhelfen.

Hinzugefügt (Eco [L] og):
Manchmal kann eine geheime Frage so lauten: 1234567qwerty
In einigen Fällen lautet die Antwort möglicherweise 1234567qwerty
Oder ähnlich, rekrutiert nach der Methode "claudia from the bald" (wählen Sie dies wird fast nicht realistisch sein)



Methodennummer 4. "Wiederherstellung von einem anderen Dienst" / in Eile und das Passwort von der Seife, die Sie nehmen können, und die Basis des Forums / Chat /

Der springende Punkt ist, dass das Passwort aus der Seife schwerer zu finden ist als das Passwort aus dem Forum, Chat, Dating-Service, Live-Protokoll usw. Dh von jenen Orten, die von demjenigen besucht oder besucht werden, dessen Seife „wiederhergestellt“ ist. Von hier aus umrunden wir alle Sites, Foren usw. die mit der Methode des "Sammelns von Informationen" in unser Blickfeld gerieten. Wir schauen uns an, was es zum Beispiel für das Forum gibt, und reduzieren unsere Aufgabe bereits darauf, Schwachstellen in diesem Forum zu finden (mit demselben google.ru).
Wir haben eine Chance (keine große, aber eine Chance), dass das Passwort aus dem Forum in die Seife geht.



Methodennummer 5. "Troyan" / anspruchsvoll /

Die Methode spricht für sich. Die Aufgabe besteht darin, Troyan oder einen Keyloger-Thread (den Sie haben sollten) herunterzufahren und Berichte (Protokolle) von ihnen zu erwarten.
Hierbei helfen die Methoden "Vulnerability of Software" und "SI / Social Engineering /" beim Pairing.



Methodennummer 6. "Software Vulnerabilities" / Erforderliche Kenntnisse /

Dies ist wahrscheinlich eine Hilfsmethode für die Trojaner-Methode. Damit sich der Trojaner durchsetzen kann, müssen große Anstrengungen unternommen werden Es wird jedoch einfacher, wenn Sie die aktuellen Schwachstellen in der Software kennen. Dieselben Browser, Mail-Programme (Outlook, TheBat !, usw.), vielleicht ICQ. Dann reduziert sich Ihre Aufgabe auf das Verknüpfen mit einem Thread auf Ihrer Website, wenn ein Besucher über eine Sicherheitsanfälligkeit im Browser auf Troyan zugreift. Oder senden Sie einen "hastigen" Brief.



Methodennummer 7. "Verwundbarkeit von Postdiensten" / erfordert auch Kenntnisse oder Fähigkeiten zur Verwendung einer Suchmaschine /

Die Methode bezieht sich direkt auf die Verwundbarkeit von Postdiensten. Sie schweben gelegentlich von Zeit zu Zeit auf. Beginnen Sie mit dem Senden eines Briefs und sehen Sie sich an, welcher Browser des Benutzers welchen Einstellungs-Thread ändert, und ändern Sie das Passwort Ihrer Mailbox, ändern Sie es (das Paket) und ändern Sie das Passwort in die gewünschte Box. Na ja usw.



Methodennummer 8. "Haben Sie Hunderte von Rubel, Freunde werden warten" / Rechnung. benötigt einen job und wm-wallet /

Sie gehen zur okolokhake-Seite und fragen nach einer bestimmten Belohnung, um das Passwort zu „erinnern“. Aber hier sei vorsichtig beim Bezahlen, da sich viele scheiden lassen (ja, es gab eine Scheidung - das waren sie immer).
..
Empfehlungen:
Überweisen Sie die Zahlung niemals im Voraus (100% ige Garantie, dass sich niemand an das Passwort erinnert). (Genauer gesagt, manche Leute können es geben, aber sie werden von Ihnen bezahlt, wenn Sie dafür bezahlen - vorher oder nachher. Und sie nehmen es meistens nach Abschluss der Bestellung entgegen.) .))
Als Beweis nicht vedis, dass der Brief von der Mailbox gesendet wurde, die Sie benötigen.
Führen Sie auch nicht sofort, wann der Beweis gemäß dem Schema erbracht wird:
Sie senden einen beliebigen Brief an das erforderliche Kästchen und erhalten dann (nach einer Weile) den Text dieses Briefes.
Als Verteidigung gegen das Werfen können Sie das Schema "durch den Garanten" oder das Schema verwenden, das höher ist, aber leicht korrigiert:
1.Sie stimmen zu, wenn Sie beide online sind.
2.Sie senden an eine "erforderliche" Seife einen Textfaden und sollten Ihnen sofort mitteilen, welchen Text Sie gesendet haben.
Dann gibt es zumindest eine Garantie, dass die Seife unter Kontrolle ist. Aber mit der Überweisung von Geld - verhandeln Sie selbst.



Methodennummer 9. "Haben Sie nicht hundert Rubel, und haben Sie hundert Freunde" / die Fähigkeit, Bekanntschaften zu machen /

Lassen Sie einfach einen guten Freund (Admin, Caliper oder besser Direktor) entweder zu dem Büro, in dem sich die Seife befindet, oder zu dem Hosting- / Internet-Büro, in dem sich die Seife befindet, arbeiten.
Nun, oder, wer das Risiko hat, einen Thread vom FSB, FAPSI, dem Amt "K" (R) zu erwerben, wird seine behördliche Befugnis überschreiten, das Passwort beim Postdienst-Support herausfinden und Sie informieren.
Dies ist eine sehr schlechte und falsche Methode. Und fast sehr selten (und Gott sei Dank)
Oder haben Sie einen Freund - der Administrator des Forums, Chat, etc. wo Leute sitzen. Wenn Sie nicht vertraut sind, hindert Sie nichts daran, ihn als Faden kennenzulernen ...



Methodennummer 10. "SI / Social Engineering /" / Die genaueste Methode. Benötigt die Fähigkeit, die Aufgabe einzustellen, zu analysieren. Schulung erforderlich /

Viele der zuvor beschriebenen Methoden kommen irgendwie zusammen und überschneiden sich mit dieser Methode. Dasselbe - diese Methode erfordert einige Daten von anderen Methoden (wie "Sammeln von Informationen", "Sicherheitslücke von Mail-Diensten" usw.)
Dies ist die umfangreichste und umfangreichste Methode. Deshalb gleich kurz und dann in einem eigenen Artikel.
Die allgemeine Bedeutung ist, sicherzustellen, dass das Passwort aus der Seife direkt vom Eigentümer bezogen wird. Oder um ihn zu überreden, die von Ihnen benötigten Aktionen auszuführen (der gleiche garantierte Start von Troyan).
Unter "direkt vom Host lernen" wird verstanden, dass der Host Ihnen genau dieses Passwort "mitteilt". Aber er wird es nicht einmal verstehen, ohne es zu wissen, er hat es dir gegeben (und vielleicht wird er es, aber später).
ps Über die SI-Methode und ihre Untermethoden - weiter. Artikel (wenn es einen Wunsch und ein Interesse gibt)



Methodennummer 11. "Was zum Teufel braucht er?" / lange aber relativ einfache Methode /

Das Wesentliche der Methode ist, den Besitzer zu zwingen, das Postfach freiwillig zu verlassen (manchmal ist es schließlich notwendig, nicht zum Lesen, sondern um das erforderliche Postfach zu haben, „wiederherzustellen“). Und es ist einfacher, dies zu tun - nur in regelmäßigen Abständen spammen Sie diese Box. Wenn der Mailbox-Besitzer nicht zu ahnungslos ist, wie er solche Spam-Mails loswerden kann, wird er es in ein paar Wochen leid sein, aus der Box zu harken oder ihn von Tonnen von Briefen zu säubern, und er wird ihn im Stich lassen. Und Postdienste sind kein Gummi. Und wenn es ein Platzlimit für die Box gibt und diese nicht besucht wird, wird diese Box schließlich gelöscht.



Und schließlich eine alternative Methode
Methodennummer 12. "Angst" / Verbrecher /

Sie fangen den Meister in der Tür ...

von antichat.ru