maly zaklad;p

[Grzywi]

Witam.Dzisiaj zalozylem sie z qmplem ze do konca przerwy swiatecznej(do 4 stycznia 2009r. godziny 23:59)zdobede jego haslo do maila.Nie znacie moze jakis sposobow na obejscie zabezpieczen w mailach? Qmpel ma poczte w o2.

Plz help;p

[javaman]

good damed.... czy ktoś liczy ilu leni do tej pory nie przeszukało archiwum ( w którym notabene są odpowiedzi ) i zadało to samo pytanie po raz X ?

[GSG-9]

good damed....

goddamnit

@Grzywi
nie zakladaj sie o rzeczy ktorych nie potrafisz

[Grzywi]

@Grzywi
nie zakladaj sie o rzeczy ktorych nie potrafisz

Nie umiem,ale chcem sie nauczyc.Juz nie chodzi nawet o sam zaklad ale o chec nauki,ktora tak wszyscy podkreslaja tutaj na forum.wszyscy mowia ze hakerzy powinni robic te rozne rzeczy w celach edukacyjnych itd.ale ciezko sie calkowicie samemu wszystkiego nauczyc.poprostu oczekiwalem jakiejs pomocy ze strony bardziej doswiadczonych(a moze poprostu)hakerow(bo siebie tak jeszcze nie moge nazwac).Ale trudno...widze ze ludzie na tym forum nie sa za bardzo sklonni do pomocy newbie >:

[Sayane]

Raczej nie zdajesz sobie sprawy z pewnych spraw, a ludzi na tym forum postrzegasz bardzo stereotypowo. Zastanów się chwilkę, gdyby każdy mógł się włamać na każdy serwer, to internet by nie istniał. Gdyby każdy mógł włamać się na pocztę np. WP to oni jako administratorzy danych płacili by ogromne kary. Więc czy możesz się chwilkę zastanowić, a nie wyskakiwać do nas z żądaniami?

[Grzywi]

Nie mowie ze kazdy,ale jednak napewno jest kilka osob na tym forum ktorzy to potrafia, i chcialbym aby choc troche mi to przyblizyli ;>

[TQM]

wszyscy mowia ze hakerzy powinni robic te rozne rzeczy w celach edukacyjnych itd.

Lamanie hasel do cudzego maila? Ehhhh - GET A LIFE!

[blooregard]

Dobrze, ja Ci "przybliżę".

Hasła do kont pocztowych najprawdopodobniej trzymane są gdzieś na serwerze dostawcy, najprawdopodobniej w bazie danych.

Tak więc:
1. Musisz namierzyć ten serwer, ewentualnie sprawdzić panel do poczty pod kątem luk typu SQL Injection (celem wyciągnięcia tego hasła z poziomu przeglądarki).

2. SQL Injection raczej nie zadziała (raczej na pewno, poczta przez www nie istnieje w Polsce od wczoraj), więc pozostaje Ci fizyczne włamanie na serwer bazodanowy.
Jak go namierzysz oczywiście (adres IP). Jeśli tak - to już luzik: nmap, otwarte porty, jakie usługi, ściągasz odpowiedniego exploitka i masz shella na serwerze. Kaszka z mleczkiem

3. Jeśli Ci się uda, to jesteś już prawie w domu. Opdalasz sobie w konsoli (na tym serwerze oczywiście, przecież już masz tam root'a) coś do administracji bazami, jakieś tam mysql czy coś. Konstruujesz zapytanie do tabeli przechowującej hasła do kont pocztowych (np. SELECT haslo WHERE adresemail = <tu adres email Twojego kumpla> )

4. Ok, masz hasło. Nie jest jawnym tekstem ? A czego się spodziewałś ? Że operatorzy poczty w Polsce to jakieś lamy ? Nie, nie, nie tak prosto. Najprawdopodobniej jest zahaszowane. Hmmm... MD5 ? Może będziesz miał farta, sprawdź np. na darkc0de.com, może gdzieś jest już ten hash i masz hasło. Jeśli nie, albo hasło jest np. SHA1, no to dupa wielka.

5. Ale nie załamuj się. Piszesz skrypt do generowania hashy SHA1 lub MD5 (w zależności od tego, co tam będzie zastosowane) i jedziesz brute-force. Czyli generujesz hasha dla np. aaaa i porównujesz z hashem hasła kolegi. Nie pasuje? No to aaab, potem aaac itd., kolejno zmieniając literki, dodając znaki specjalne, cyfry itd.)
Do 4 stycznia może zdążysz. Jakby co, pożycz kilka kompów od kumpli i zbuduj coś a'la Cray. Da się. Tutoriale znajdziesz w necie. Troszkę gorzej będzie to oprogramować, ale dasz radę.

6. Zanim dojdziesz do punktu 3 lub dalej, usłyszysz pukanie do drzwi i jacyś panowie będa krzyczeć "Policja, otwierać" i tym podobne. Nie przejmuj się, oni nie mają pojęcia, co robisz. Odpal fotka.pl, gg , walnij jakąś dupę na tapetę, otwórz im drzwi i rżnij głupa. Polska policja naprawdę nie zna się na rzeczy, nic Ci nie znajdą na kompie ani nie udowodnią. Spoko luzik. ale na CBŚ uwarzaj. Oni są troszkę bardziej kumaci (potrafą np. sprawdzać historię odwiedzanych stron - uwierzysz ? : ) )

Zresztą i tak nie ma na to paragrafów w KK, tzn. są, ale sędziowie i prokuratorzy nie znają sie na rzeczy i najwyżej coś tam pomruczą i wlepią Ci 6 miesięcy w zawiasach dla zachowania autorytetu. Także tu też luzik.

Czyli, reasumując - wgraną masz w kieszeni.
Pozdrów kolegę, jak już mu się włamiesz, ok ?

[tyter]

Attack tree:

1. Atak socjotechniczny

2. Atak techniczny

2.1. Atak po stronie klienta
2.2. Atak na polaczenie
2.3. Atak po stronie serwera

I wlamiesz sie wszedzie...

[Ormi]

Jest na to prosta i skuteczna metoda. Bierzesz kominiarkę, łom, nóż i drabinę. W nocy zakradasz się pod okno pokoju,w którym śpi kolega. Zakładasz na głowę kominiarkę, po drabinie wspinasz do samego okna, łomem otwierasz okno, wchodzisz do pokoju. Przykładasz koledze nóż do gardłai mówisz, że ma ci podać hasła. Biedak będzie przerażony, więc pewnie zdradzi ci hasło. Korzystając z okazji zabierasz co bardziej wartościowe rzeczy z pokoju. A rano dzwonisz do kolegi i mówisz "Siema! Zdobyłem twoje hasło do maila!" i podajesz mu to hasło.
100% skuteczności o ile kumpel się wcześniej nie obudzi i nie zadzwoni na policję!

EDIT: Znowu zostałem wyprzedzony