karel.wojtyla | 94.112.154.* | 7.11.2008 17:50 | # |
| Líbí se mi tohle, ale neumím to zrealizovat.
4) Falešný formulář + fake mail + IE bar spoofing
Obtížnost: Velká
Proveditelnost: 80%
Účinnost: 80%
Riziko odhalení: Střední
pozn.: Tato metoda počítá s tím, že oběť používá nezapatchovaný Internet Explorer. Pokud tedy oběť používá jiný prohlížeč, rozhodně tuto metodu nezkoušejte!!!
Co dělat, když oběť email nebo www stránku na serveru, kde si nemůžete registrovat vlastní freehosting? Nyní řekněme, že oběť má emailovou schránku petr@seznam.cz. Vytvořte si formulář ve vzhledu Seznamu a nahrajte ho na libovlný účet třeba na webzdarma.cz. Pak pošlete oběti email, kterým oběť donutíte kliknout na odkaz, který do emailu přidáte. Možná si teď říkáte: "No jo, ale nebude trochu podezřelý, když ten formulář bude na wz?". Odpověď zní: Nebude. Sačí, aby si oběť myslela, že zobrazovaná stránka je na seznamu. Jak toho docílíme? Pomocí chyby v IE nazývané "Bar Spoofing". Spočívá v tom, že text zobrazený v panelu adresa neodpovídá adrese zobrazené stránky. Toho docílíme pomocí speciální série znaků v odkazu:
http://zobrazená_adresa%00@skutečná_adresa
Tedy v našem případě např.:
[link]%00@hackmail.webzdarma.cz
O tom, jestli to funguje i na vašem počítači se můžete přesvědčit ZDE. Tato metoda je opravdu velice účinná, akorát oběť musí klinkout na odkaz, který jste jí poslali, protože kdyby napsala oadresu přímo do prohlížeče, tak máte smůlu. |
|
| Kdyz budes mit stesti tak mas heslo desifrovane za par minut, kdyz ne tak za par let...nebo si snad nechtel desifrovat? xD |
|
D@N | | 223163359 | 7.11.2008 17:50 | # |
| karel.wojtyla: Jo, dá se to zjistit. Promiň že tě podceňuji, ale chybou v seznamu to určitě nezjistíš. Pokud je daný uživatel "blbej jako poleno" tak ho dostaneš pomocí sociálního inženýrství, ale musíš si to důkladně promyslet, ne styl "lostpassword@seznam.cz"
----------
Hello world! Segmentation fault. Core dumped. |
|
D@N | | 223163359 | 7.11.2008 17:48 | # |
| Jasně, uvedl jsem co mě právě přišlo na mozek, ale md5 je pořád ještě nejpoužívanější.
----------
Hello world! Segmentation fault. Core dumped. |
|
karel.wojtyla | 94.112.154.* | 7.11.2008 17:47 | # |
| Tohle mě vážně pobavilo :-)
>>Zjištění hesla na E-Mail od Seznamu.cz<< "Podařilo se mi zjistit kam se posílá email na zjištění hesla od Seznamu" Každý řiká proč mám psát svoje heslo??...Je tomu potřeba protože seznam.cz má nějaké opatřeni proti hackerům. A teď už k věci...Pošlete E-Mail na email lostpassword.seznam.cz@seznam.cz ve tvaru: "lst_pwd_usr_mail":email na ktery chcete zjistit heslo "chk_usr_pwd":heslo vašeho emailu na ketrym ted jste "ctc_usr_mail":kontaktni email na ktery vam prijde heslo "getlstpassword"Code:5549
Např.: "lst_pwd_usr_mail":petr.k@seznam.cz "chk_usr_pwd":123456 "ctc_usr_mail":jan.kop@seznam.cz "getlstpassword"Code:5549 |
|
karel.wojtyla | 94.112.154.* | 7.11.2008 17:46 | # |
| Ne nemám, prostě ho potřebuji zjistit. Jde to vůbec nějak zjistit? |
|
| Ale tezko rict co pouziva seznam... |
|
D@N | | 223163359 | 7.11.2008 17:43 | # |
| karel.wojtyla: Ptám se stejně jako Antrax, ty už to heslo máš? Když píšeš "dešifrovat" zní to jakoby jsi to heslo už měl třeba ve formě md5 atp...
----------
Hello world! Segmentation fault. Core dumped. |
|
karel.wojtyla | 94.112.154.* | 7.11.2008 17:41 | # |
| D@N
přestaň si ze mě dělat srandu - myslím to vážně! |
|