Vedel by niekto spravit jednoduchy script, ktory by skusal hesla na Pokec zo suboru (slovnik)?

Pochybujem, ze azet nesleduje pocet nespravnych prihlaseni sa na ich web. Preto slovnikovou metodou nezajdes nikam.

na tieto veci existuju programi, niektore su volne dostupne. Pri prihlasovani na pokec sa pouziva zabespecena komunikacia cez SSL certifikat, takze meno aj heslo su sifrovane a digitalne podpisane. Je tam pouzita asymetricka kriptografia, takze asi nemas sancu ako amater , jedina moznost by bola utok hrubou silou, na to sa da pouzit Nessus, ale to budes musiet skusit sa prihlasovat bez SSL certifikatu, je tam aj taka moznost. Ak nie je zabazpecena komunikacia, tak cez Wiresark sa ta da pekne odchytit, ale dalsia vec ak to skusis hrubou silou, tak je dost mozne, ze na azete maju spravene pocitadlo prihlaseni, co by mohlo predstavovat next problem , takze ani so slovnickom nic nezmozes. Dalsi odlbovak je skor skript, kt. zachytava kazde meno a heslo pri prihlasovani a zapisuje ho do textaku, ale to by si ho musel nainstalovat dotycnemu na komp a ku odchyteniu musi dojis este pred zasifrovanim . My sme tak zistili admin. heslo nasho profaka a sme sa prihlasovali na jeho ucet, ale uz si nepamatak ako sme to robili, snat to niekto vie . hmm?

johny3212 toľko kravín pokope som ešte nevidel napísaných

johny3212 napísal:zabespecena komunikacia cez SSL certifikat, takze meno aj heslo su sifrovane a digitalne podpisane.

najprv si prosímťa naštuduj čo je SSL. Tento nadväzuje komunikačný kanál ktorý je šifrovaný, ale dáta sa ním prenášajú nešifrovane. Podstatou je že nikto nemôže čítať, a nie že môže čítať ale nerozumie

johny3212 napísal:Je tam pouzita asymetricka kriptografia, takze asi nemas sancu

Taktiež si naštuduj čo je asymetrická kryptografia a kde sa využíva.

johny3212 napísal:Nainstaluj si Wireshark a skus sa prihlasit be SSL a odchytit pakety a ceknut autentizaciu, za v akej forme sa posielaju meno a heslo a ako ti odpoveda server

To mu poviem aj ja bez wiresharku. Posiela to ako plaintext a server mu odpovie zaslaním stránky s headerom 200 (vyhodnotenie je na strane servera ale vždy ti pošle platnú stránku na ktorej bude písané či si zadal správne alebo nie)

johny3212 napísal:Ak nie je zabazpecena komunikacia, tak cez Wiresark sa ta da pekne odchytit

áno, ak si MIM (man in the middle, aj to nie je až tak triviálne). Odchyť ale moju komunikáciu keď nie sme na spoločnej sieti

johny3212 napísal:Dalsi odlbovak je skor skript, kt. zachytava kazde meno a heslo pri prihlasovani a zapisuje ho do textaku, ale to by si ho musel nainstalovat dotycnemu na komp a ku odchyteniu musi dojis este pred zasifrovanim

Pri pharmingu a phisingu sa o šifrovaní nemáme čo baviť, zase nemáš jasno v danej veci. A nie, nič mu nemusí inštalovať. Samozrejme je to presvedčivejšie keď mu zmení dns záznamy alebo prepíše hosts, ale veľa ľudí sa nachytá aj keď url stránky vypadá trochu inač ako originál. Stačí poslať mail s falšovanou hlavičkou čo je robota na 2 minúty

Ano samozrejme, ze niko nemoze citat, ale tych sposobou komunikacie je tam vela. Asymetriska kryptografia viem co je a viem aj ako a kde sa vyuziva , pri SSL certifitach sa pouziva na digitalny podpis, kde sa overuje sprava a prijemca na zaklade hashu, pouziva sa bud RSA alebo ECC - ECDSA najviac. Pri samotnych datach sa pouziva symetricka sifra, koli rychlosti.
Podstatou je, ze niekto nemoze citat: staci sa napychnut na kanal a byt velmi sikovny a da sa to.
Tym wiresarkom som myslel, nech si odchyti vlastnu komunikaciu, aby videl ako to tam prebieha, samozrejme, ze nebude nim odchytavat uplne zudzju siet ......

Stačí poslať mail s falšovanou hlavičkou čo je robota na 2 minúty

ano aj to je riesenie, ale kazdeho tym nenachytas.

Phising do uvahy nepripada. Myslim, ze wap verzia je bez SSL. Nepotrebujem slovnik s milionom slov, postacil by vlastny s asi tak tisickou slov.

Na SSL nezalezi, ak ides cez slovnik.
skus sa prihlasovat rucne na pokec s tym istym menom a stale zadavaj zle heslo dookola, ci ti nevyhodi ochrannu nalepku, aby si zadal text z obrazka. Napr, facebook ma tuto ochranu, ak je tam tato ochrana, tak ti to nepojde, lebo ti neprebehne autentizacia skor, ako ti neovery dany text z obrazka.

Cez wapko som skusil asi 20x a nebol problem.

... pokial viem kazdy uzivatel ma automaticky po registraci aj mail a s nim aj pristup k pop3 tak co skusit nejaky pop3 cracker ? napr cez burtus to urcite pojde... ale kazdopadne je to ubohe ale tak ked sa nudite tak do toho no

netusim ako je to zo zabezpecenim azetu. ale po utoku igigiho mas aspon predstavu o urovni hesiel. preto kvoli nizsej casovej zlozitosti odporucam radsej slovnik. ale i tak si myslim ze je to nanajvys zbytocne.

samozrejme, je to utok hrubou silou, takze je to iba nahoda s malou pravdepodobnostou . Ale len si najdi niekoho, kto ti ten skriptik spravy, ja sa tomu nevenujem, neviem... Jedna dajme tomu anonim osoba, skusala takto rozlustit jeden zipovany suboru pod heslom. Bol tam nasedeny jednuduchy algoritmus, ktory v rychlom cykle testoval vsetky hesla a s nazil sa to rozbalit, trvalo to cca 48 hodin, ale rozbalil to. Je to len vec nahody, mohloto to kludne bezat aj tyzden a nic, hlavny faktor je dlzka hesla, ta urcuje obtiaznost problemu. Skus si vygooglit ten Nessus, len musis pri nom troska ovladat aj protokoly a ich mechnizmus , moc toho nedokaze, ale mozno na nieco prides .

johny kedy prestanes pisat veci typu ze jablko je zelene ?

no ja som sa vyjadroval iba po teoretickej stranke, nemam taku inciativu a cas pre toto forum , aby som robil viac. Mne je jedno ako si to vysvetlujes .

Skutocne pises hluposti, ktore ma nezaujimaju a su od veci. To co opisujes s dakym archivom a dlzkou hesla, to je nieco ine a nepodstatne, navyse to spravim cez Advanced Archive Password Recovery. Uz sa prosim do tejto temy nevyjadruj, lebo ma tvoje prispevky nezaujimaju.

No mozes skusit napriklad brutus ale sanca na uspech je takmer 0. A pri bruteforce uplna 0.

Keď som mal ale 9 tak som häkoval kamarátov účty. A viem, že ma to po nejakých 5-10 zlých heslách proste stoplo. Zmeniť IP nepoholo. Dotyčný dostal ban na asi 15 minút. Určite by to išlo šikovne zneužiť . Ale neviem, či to funguje ešte stále.

Gepid: Nebolo to tak v pripade hesiel na albumy, ze sa na 20min album blokol???

kedysi som tu aj mal ohľadne tohto tému. Robil som v delphi teda audiotrack spravil taký program že sa dalo cez to prihlásiť na kec cez wap. ja som to len prerobil aby tam tie hesla čítalo z texťáku. ale mne načítavalo celú stránku do vstavaného WebBrowsera tu som parsoval a zistil či sa prihlásilo alebo nie. no tým že čítalo celú stránku tak to bolo neskutočne pomalé hoci tá wap stránka zaberá asi 2 kB. tiež audio vtedy napísal že vhodnejšie riešenie by bolo cez synapse ale to som ešte nepoznal. a dalo by sa tam posielať len meno a heslo na ten wapový server metódou _get a potom získavať len hlavičku a z tej zistiť či prihlásenie prebehlo úspešne. ale na to už som bol lenivý. ale výsledok by bol nejaký program. ja som to rieššil tak že som našiel a zlepil na nete zopár kódov a mal som dosť dobrý keylogger ale funkčný len na xp, lebo vista a win7 už zachytili že niečo nieje v poriadku, použil ako autorun na USB a zistil som čo som chcel..

Taketo kraviny sa dobre davaju na skolske pocitace. Nechas to tam tyzden a za tyzden mas s keylogerov tolko hesiel ze az. Problem je ze asi ziadne nevyuzijes.

sak ti staci poslat nejakej osobe mail a tam dat odkaz cez html na pop-up okno, link nebude vidno lebo v popup oknach to tak byva napodobnis stranku kecu a ides