Strona 2 z 3 PierwszyPierwszy 123 OstatniOstatni
Pokaż wyniki 11 do 20 z 21

Temat: maly zaklad;p

  1. #11
    Zarejestrowany
    Jul 2008
    Skąd
    PL
    Postów
    135

    Domyślnie

    Dobrze, ja Ci "przybliżę".

    Hasła do kont pocztowych najprawdopodobniej trzymane są gdzieś na serwerze dostawcy, najprawdopodobniej w bazie danych.

    Tak więc:
    1. Musisz namierzyć ten serwer, ewentualnie sprawdzić panel do poczty pod kątem luk typu SQL Injection (celem wyciągnięcia tego hasła z poziomu przeglądarki).

    2. SQL Injection raczej nie zadziała (raczej na pewno, poczta przez www nie istnieje w Polsce od wczoraj), więc pozostaje Ci fizyczne włamanie na serwer bazodanowy.
    Jak go namierzysz oczywiście (adres IP). Jeśli tak - to już luzik: nmap, otwarte porty, jakie usługi, ściągasz odpowiedniego exploitka i masz shella na serwerze. Kaszka z mleczkiem

    3. Jeśli Ci się uda, to jesteś już prawie w domu. Opdalasz sobie w konsoli (na tym serwerze oczywiście, przecież już masz tam root'a) coś do administracji bazami, jakieś tam mysql czy coś. Konstruujesz zapytanie do tabeli przechowującej hasła do kont pocztowych (np. SELECT haslo WHERE adresemail = <tu adres email Twojego kumpla> )

    4. Ok, masz hasło. Nie jest jawnym tekstem ? A czego się spodziewałś ? Że operatorzy poczty w Polsce to jakieś lamy ? Nie, nie, nie tak prosto. Najprawdopodobniej jest zahaszowane. Hmmm... MD5 ? Może będziesz miał farta, sprawdź np. na darkc0de.com, może gdzieś jest już ten hash i masz hasło. Jeśli nie, albo hasło jest np. SHA1, no to dupa wielka.

    5. Ale nie załamuj się. Piszesz skrypt do generowania hashy SHA1 lub MD5 (w zależności od tego, co tam będzie zastosowane) i jedziesz brute-force. Czyli generujesz hasha dla np. aaaa i porównujesz z hashem hasła kolegi. Nie pasuje? No to aaab, potem aaac itd., kolejno zmieniając literki, dodając znaki specjalne, cyfry itd.)
    Do 4 stycznia może zdążysz. Jakby co, pożycz kilka kompów od kumpli i zbuduj coś a'la Cray. Da się. Tutoriale znajdziesz w necie. Troszkę gorzej będzie to oprogramować, ale dasz radę.

    6. Zanim dojdziesz do punktu 3 lub dalej, usłyszysz pukanie do drzwi i jacyś panowie będa krzyczeć "Policja, otwierać" i tym podobne. Nie przejmuj się, oni nie mają pojęcia, co robisz. Odpal fotka.pl, gg , walnij jakąś dupę na tapetę, otwórz im drzwi i rżnij głupa. Polska policja naprawdę nie zna się na rzeczy, nic Ci nie znajdą na kompie ani nie udowodnią. Spoko luzik. ale na CBŚ uwarzaj. Oni są troszkę bardziej kumaci (potrafą np. sprawdzać historię odwiedzanych stron - uwierzysz ? : ) )

    Zresztą i tak nie ma na to paragrafów w KK, tzn. są, ale sędziowie i prokuratorzy nie znają sie na rzeczy i najwyżej coś tam pomruczą i wlepią Ci 6 miesięcy w zawiasach dla zachowania autorytetu. Także tu też luzik.

    Czyli, reasumując - wgraną masz w kieszeni.
    Pozdrów kolegę, jak już mu się włamiesz, ok ?
    "...i stało się! Linie telefoniczne otworzyły mi bramę do świata
    upajającego jak heroina pulsująca w żyłach ćpuna! Elektronicznym
    sygnałem przekraczam wrota szukając ucieczki od codzienności,
    głupoty i niesprawiedliwości... i znajduję podobnych sobie."

  2. #12
    Avatar Ormi
    Ormi jest offline %x-%x-%x-%n
    Zarejestrowany
    Jul 2008
    Skąd
    Za twoimi plecami
    Postów
    351

    Domyślnie

    Ewentualnie można się włamywać używając proxy, co opóźni przyjazd Panów W Niebieskich Mundurach na tyle, że zdążysz jeszcze zadzwonić do kolegi i odpowiednio przygotować komputer na wizytację Powodzenia A jak znajdziesz już tego exploita na o2, to podaj link, bo wszyscy sobie chętnie go obejrzymy
    Black Coders | Hacking, Kernel, Linux, Operating Systems, Programming
    I otworzyła studnię Czeluści,
    a dym się uniósł ze studni jak dym z wielkiego pieca,
    i od dymu zaćmiło się słońce i powietrze.
    A z dymu wyszła szarańcza na ziemię,
    i dano jej moc jaką mają ziemskie skorpiony.
    (...)
    I dano jej nakaz aby nie zabijała,
    lecz aby przez pięć miesięcy cierpieli katusze...

  3. #13
    Zarejestrowany
    Jul 2008
    Skąd
    PL
    Postów
    135

    Domyślnie

    @Ormi, myślę, że taki fachowiec wie o proxy, proszę, nie obrażaj autora wątku
    "...i stało się! Linie telefoniczne otworzyły mi bramę do świata
    upajającego jak heroina pulsująca w żyłach ćpuna! Elektronicznym
    sygnałem przekraczam wrota szukając ucieczki od codzienności,
    głupoty i niesprawiedliwości... i znajduję podobnych sobie."

  4. #14
    Zarejestrowany
    May 2008
    Skąd
    Katowice
    Postów
    59

    Domyślnie

    Attack tree:

    1. Atak socjotechniczny

    2. Atak techniczny

    2.1. Atak po stronie klienta
    2.2. Atak na polaczenie
    2.3. Atak po stronie serwera

    I wlamiesz sie wszedzie...

  5. #15
    Avatar Ormi
    Ormi jest offline %x-%x-%x-%n
    Zarejestrowany
    Jul 2008
    Skąd
    Za twoimi plecami
    Postów
    351

    Domyślnie

    To w takim razie moja metoda(ta z drabiną, łomem, nożem i kominiarką) kwalifikuje się jako atak socjotechniczny? Czy może raczej jako atak po stronie klienta(a raczej atak NA klienta)?
    Black Coders | Hacking, Kernel, Linux, Operating Systems, Programming
    I otworzyła studnię Czeluści,
    a dym się uniósł ze studni jak dym z wielkiego pieca,
    i od dymu zaćmiło się słońce i powietrze.
    A z dymu wyszła szarańcza na ziemię,
    i dano jej moc jaką mają ziemskie skorpiony.
    (...)
    I dano jej nakaz aby nie zabijała,
    lecz aby przez pięć miesięcy cierpieli katusze...

  6. #16
    Zarejestrowany
    Jul 2008
    Skąd
    PL
    Postów
    135

    Domyślnie

    Hm, ja bym to podciągnął pod metodę "atak socjofizyczny".
    Mitnick o tym nie pisał, ale podobno "hakierzy" z Pruszkowa takie metody stosują z całkiem niezłą skutecznością.
    "...i stało się! Linie telefoniczne otworzyły mi bramę do świata
    upajającego jak heroina pulsująca w żyłach ćpuna! Elektronicznym
    sygnałem przekraczam wrota szukając ucieczki od codzienności,
    głupoty i niesprawiedliwości... i znajduję podobnych sobie."

  7. #17
    Zarejestrowany
    May 2008
    Skąd
    Katowice
    Postów
    59

    Domyślnie

    To w takim razie moja metoda(ta z drabiną, łomem, nożem i kominiarką) kwalifikuje się jako atak socjotechniczny? Czy może raczej jako atak po stronie klienta(a raczej atak NA klienta)?
    Twoj atak sklada sie z dwoch etapow:

    etap 1:
    Bierzesz kominiarkę, łom, nóż i drabinę. W nocy zakradasz się pod okno pokoju,w którym śpi kolega. Zakładasz na głowę kominiarkę, po drabinie wspinasz do samego okna, łomem otwierasz okno, wchodzisz do pokoju.
    Pasuje mi pod atak techniczny, sprzetowy? po stronie klienta.

    etap 2:
    Przykładasz koledze nóż do gardłai mówisz, że ma ci podać hasła. Biedak będzie przerażony, więc pewnie zdradzi ci hasło.
    Socjotechniczny inaczej

  8. #18
    Avatar Michal_sh
    Michal_sh jest offline (s)aint
    Zarejestrowany
    Apr 2007
    Postów
    689

    Domyślnie

    Jeśli jesteś dobry ,a twój kolega jest kompletnym idiotą masz szansę , jeśli ty nie jesteś dobry albo twój kolega nie jest kompletnym idiotą przegrałeś zakład. Mi osobiście raz zdarzyło się założyć(nie powiem o co chodziło ale nie o maila) , zakład wygrałem , dlatego że zrobiłem to o co się założyłem przed samym zakładem , w ten sposób miałem 100% pewności ,że mi się uda eheh. Oczywiście potem ściema ,że całą noc nie spałem itd itp , ale mi się cudem udało heh.
    Ani mi się waż atakować tlen , sam korzystam z ich poczty (tylko do rejestracji w różnych serwisach i otrzymywanie spamu). Gmaila i poczty na wp też nie ruszaj (też mam tam konto) bo pewnie chciałeś co ?
    Ostatnio edytowane przez Michal_sh : 12-31-2008 - 13:26

  9. #19
    Zarejestrowany
    Jul 2008
    Skąd
    PL
    Postów
    135

    Domyślnie

    Ani mi się waż atakować tlen , sam korzystam z ich poczty (tylko do rejestracji w różnych serwisach i otrzymywanie spamu). Gmaila i poczty na wp też nie ruszaj (też mam tam konto) bo pewnie chciałeś co ?
    Ani Pentagonu nie ruszać, bo właśnie ich hakuję i się skapną, jak coś spieprzysz.
    "...i stało się! Linie telefoniczne otworzyły mi bramę do świata
    upajającego jak heroina pulsująca w żyłach ćpuna! Elektronicznym
    sygnałem przekraczam wrota szukając ucieczki od codzienności,
    głupoty i niesprawiedliwości... i znajduję podobnych sobie."

  10. #20
    Avatar Michal_sh
    Michal_sh jest offline (s)aint
    Zarejestrowany
    Apr 2007
    Postów
    689

    Domyślnie

    A to po tobie musiałem wczoraj sprzątać Logi ,następnym razem sam to zrób bo dzisiaj nie będę miał czasu:P
    /var/log/syslog Pamiętaj

Podobne wątki

  1. ORINOCO 8471-WD - maly problem
    By niemilce in forum Wardriving
    Odpowiedzi: 4
    Autor: 04-12-2008, 15:24
  2. Maly problem z exploitem:]
    By kryllann in forum Newbie - dla początkujących!
    Odpowiedzi: 6
    Autor: 03-17-2007, 20:48
  3. Mam maly problemik/pytanko
    By XoSiDoX in forum Kryptografia
    Odpowiedzi: 2
    Autor: 10-19-2006, 21:36

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj