Aflarea unei parole
Games-Hit :: • General • :: Windows
Pagina 1 din 1
Aflarea unei parole
Scris de Style Vin Ian 21, 2011 10:19 pm
Cum sa afli o parola: intrebarea multora dintre voi...
In tutorialul
ce urmeaza am hotarat sa va arat pe intelesul tuturor cum sa spargeti o
parola la un mail, un cont Yahoo, mail sau chiar server de net.Acest
tutorial a fost scris intr-un limbaj natural, pentru ca fiecare dintre
voi sa il inteleaga
Deci sa incepem:
________________________________________________________________________________
CUM SA SPARGI O PAROLA:
1) PAROLA DE MAIL
2) PAROLA DE YAHOO! MAIL
3) PAROLA DE CONECTARE LA UN CALCULATOR
4) PAROLA PENTRU UN SERVER DE NET
________________________________________________________________________________
________________________________________________________________________________
1)PAROLA DE MAIL
Pentru
a intelege cum se sparge o parola de mail trebuie sa stiti cateva
chestii elementare: Un server de mail ruleaza de obicei 2 protocoale:
SMTP (Simple Mail Transfer Protocol) si POP3 (post office protocol,
version 3). Un site face de obicei toate aceste lucruri folosind un
limbaj de scripting dinamic (PHP. ASP etc) si baze de date (SQL de
obicei)
Intr-o adresa de mail de genul E-mail,
utilizator=domeniul creat pe serveru respectiv, server=serverul ce
detine baza de date despre domeniul respectiv
Pentru a ajunge la parola respectiva exista mai multe metode:
a)
Brute Force Hack- prin definitie, metoda aceasta ia la intamplare un
nume de utilizator, iar daca acesta este valid, incearca toate
posibilitatile existente pentru o parola. Se poate particulariza metoda
aceasta, utilizand doar anumite caractere, cu o anumita lungime, sau o
lista cu cele mai uzuale cuvinte folosite ca parola (internetul e plin
de liste de genul asta). Metoda poate dura de la cateva minute, la
cateva luni sau chiar mai mult (mie mi-a scris odata ca mai dureaza inca
2 secole pana ce termina de incercat toate posibilitatile)
b)Metoda
manuala - solicitati niste informatii direct de la utilizatorul
respectiv, si daca este destul de naiv, vi le va da. Daca server-ul pe
care persoana respectiva are mail, va afiseaza direct pe pagina parola
sau daca o modifica, puteti incerca cu optiunea "Am uitat parola". Merge
si asta
c)SPAM - Ce inseamna spam? Ar trebui sa deschidem un
subiect special pentru aceasta categorie de "hacking". Ca sa afli o
parola prin spam, nu trebuie decat sa iei pagina de login de la
serviciul respectiv... o modifici astfel incat sa trimita datele
completate in emailul tau si sa dea o eroare de trimitere utilizatorului
si ... merge... faza e ca tipul nu trebuie sa se prinda, asa ca trebuie
sa pui si tu un nume credibil la pagina sa fie cu cat mai multe
caractere amestecata pt ca utilizatorul sa nu-si dea seama ...
d)Troieni
si keyloggere - metoda aceasta a fost discutata in amanunt pe forum dar
eu o reiau. Un troian are doua componente: clientul si serverul.
Serverul trebuie trimis victimei. O data rulat, acesta da frau liber
clientului sa se conecteze pe calculatorul respectiv. Prorat are o
optiune pentru aflarea tuturor parolelor de pe PC-ul unde serverul este
instalat. De exemplu: vrei sa-i afli parola lui Fane, iar el este un
fraier si iti accepta serverul de troian facut de tine. In caz ca nu are
antivirus, troianul acceptat si rulat, va deschide o poarta de intrare
pe calculator. Din serverul de troian tu scrii (la ip-ul de conectare),
IP-ul lui. IP-ul lui poate fi gasit in urmatorul mod:
Start>Run>cmd. Scrii netstat-nao si incerci toate IP-urile listate
acolo (in caz ca stii pe ce port vorbiti, incerci doar IP-urile cu
portul respectiv). La conectare, scrii parola si... ai acces la
calculatorul lui.
e) Sniffer - Mai pe scurt - un sniffer este un mic
program ce capteaza toate informatiile transmise prin retea ...si dupa
cum bine spunea laurxxx, incercati sniffer-ul Cain (sau Ethereal -
sugestia mea)
_______________________________________________________________________________
2) PAROLA DE YAHOO! MAIL
Pentru
a sparge o parola de Yahoo este nevoie de mai multa ingeniozitate
deoarece este un serviciu bine securizat. singura metoda usoara pentru a
sparge o astfel de parola este trimiterea unui troian persoanei
respective, dar acest lucru merge doar in caz ca nu are antivirus - si
cel mai des utilizata
O metoda care sigur merge este SQL
injection. Mysql Injection - introducerea neautorizata a unor date in
baza de date (de obicei cu ajutorul unui formular), pana cand atinge
dimensiuni gigantice (sau pana ajunge la limita maxima impusa de
hosting)
SQL injection (nu doar cu MySQL) nu se refera la date imense ci la comenzi SQL deghizate in parametri pasati inapoi. Exemplu
pagina.php?id=1
si tu ai
mysql_query("SELECT * FROM Tabela WHERE id={$_GET['id']}";
Se poate apela:
pagina.php%3Fid%3D1%3BDELETE+FROM+Tabela
adica
pagina.php?id=1;DELETE FROM Tabela
Aici e problema cu SQL injection: injectare de comenzi SQL in diverse forme - parametri dati in URL, post, cookies, etc.
SQL injection este de departe cea mai mare problema. Mai exista cross site scripting dar aceasta e cu totul alta poveste ...
________________________________________________________________________________
3) PAROLA DE CONECTARE LA UN CALCULATOR
Odata
ce aveti parola de conectare la un calculator ce nu va apartine, puteti
spune ca ati facut rost de un root... si nu e greu deloc.
Exista
la fel ca la mail-uri, mai multe metode de aflare a unei parole. Acest
lucru depinde de porturile deschise pe calculator. Un port este o cale
de comunicare cu exteriorul la calculatorul respectiv. Daca PC-ul
respectiv are portul 139 deschis (cum e calculatorul meu --- sa va vad
ca incercati sa ma hackuiti -- ). Deci, incercati sa va conectati pe un
port, si incercati prima si prima data admin:admin, sau admin:user sau
toate chestiile de genul asta(eventual cu un brute force hack). Daca nu
merge, incercati sa downloadati niste exploit-uri de pe net. Un exploit
este un program ce exploateaza vulnerabilitatea unui protocol, serviciu,
program etc. De obicei le gasiti fisierele sursa pe care puteti sa le
modificati dupa preferinta
________________________________________________________________________________
4)
E acelasi lucru ca spargerea parolei la un calculator, doar ca trebuie
sa aflati IP-ul serverului respectiv. Doar ca trebuie sa ii aflati
IP-ul, ceea ce nu e prea greu.
Acest lucru se poate face cu ajutorul
comenzii: tracert. De exemplu, sa zicem ca serverul dumneavoastra ar fi
yahoo.com :p ... Intrati in start>run>scrieti cmd si dupa aia
scrieti (in fereastra de command prompt) tracert yahoo.com, la care
cmd-ul va va spune: "Tracing route to yahoo.com [66.94.234.13]"
Pentru a afla un user de pe serever-ul respectiv, folositit comanda nbtstat (va ajuta sa gasiti si MAC-ul PC-ului respectiv)...
In tutorialul
ce urmeaza am hotarat sa va arat pe intelesul tuturor cum sa spargeti o
parola la un mail, un cont Yahoo, mail sau chiar server de net.Acest
tutorial a fost scris intr-un limbaj natural, pentru ca fiecare dintre
voi sa il inteleaga
Deci sa incepem:
________________________________________________________________________________
CUM SA SPARGI O PAROLA:
1) PAROLA DE MAIL
2) PAROLA DE YAHOO! MAIL
3) PAROLA DE CONECTARE LA UN CALCULATOR
4) PAROLA PENTRU UN SERVER DE NET
________________________________________________________________________________
________________________________________________________________________________
1)PAROLA DE MAIL
Pentru
a intelege cum se sparge o parola de mail trebuie sa stiti cateva
chestii elementare: Un server de mail ruleaza de obicei 2 protocoale:
SMTP (Simple Mail Transfer Protocol) si POP3 (post office protocol,
version 3). Un site face de obicei toate aceste lucruri folosind un
limbaj de scripting dinamic (PHP. ASP etc) si baze de date (SQL de
obicei)
Intr-o adresa de mail de genul E-mail,
utilizator=domeniul creat pe serveru respectiv, server=serverul ce
detine baza de date despre domeniul respectiv
Pentru a ajunge la parola respectiva exista mai multe metode:
a)
Brute Force Hack- prin definitie, metoda aceasta ia la intamplare un
nume de utilizator, iar daca acesta este valid, incearca toate
posibilitatile existente pentru o parola. Se poate particulariza metoda
aceasta, utilizand doar anumite caractere, cu o anumita lungime, sau o
lista cu cele mai uzuale cuvinte folosite ca parola (internetul e plin
de liste de genul asta). Metoda poate dura de la cateva minute, la
cateva luni sau chiar mai mult (mie mi-a scris odata ca mai dureaza inca
2 secole pana ce termina de incercat toate posibilitatile)
b)Metoda
manuala - solicitati niste informatii direct de la utilizatorul
respectiv, si daca este destul de naiv, vi le va da. Daca server-ul pe
care persoana respectiva are mail, va afiseaza direct pe pagina parola
sau daca o modifica, puteti incerca cu optiunea "Am uitat parola". Merge
si asta
c)SPAM - Ce inseamna spam? Ar trebui sa deschidem un
subiect special pentru aceasta categorie de "hacking". Ca sa afli o
parola prin spam, nu trebuie decat sa iei pagina de login de la
serviciul respectiv... o modifici astfel incat sa trimita datele
completate in emailul tau si sa dea o eroare de trimitere utilizatorului
si ... merge... faza e ca tipul nu trebuie sa se prinda, asa ca trebuie
sa pui si tu un nume credibil la pagina sa fie cu cat mai multe
caractere amestecata pt ca utilizatorul sa nu-si dea seama ...
d)Troieni
si keyloggere - metoda aceasta a fost discutata in amanunt pe forum dar
eu o reiau. Un troian are doua componente: clientul si serverul.
Serverul trebuie trimis victimei. O data rulat, acesta da frau liber
clientului sa se conecteze pe calculatorul respectiv. Prorat are o
optiune pentru aflarea tuturor parolelor de pe PC-ul unde serverul este
instalat. De exemplu: vrei sa-i afli parola lui Fane, iar el este un
fraier si iti accepta serverul de troian facut de tine. In caz ca nu are
antivirus, troianul acceptat si rulat, va deschide o poarta de intrare
pe calculator. Din serverul de troian tu scrii (la ip-ul de conectare),
IP-ul lui. IP-ul lui poate fi gasit in urmatorul mod:
Start>Run>cmd. Scrii netstat-nao si incerci toate IP-urile listate
acolo (in caz ca stii pe ce port vorbiti, incerci doar IP-urile cu
portul respectiv). La conectare, scrii parola si... ai acces la
calculatorul lui.
e) Sniffer - Mai pe scurt - un sniffer este un mic
program ce capteaza toate informatiile transmise prin retea ...si dupa
cum bine spunea laurxxx, incercati sniffer-ul Cain (sau Ethereal -
sugestia mea)
_______________________________________________________________________________
2) PAROLA DE YAHOO! MAIL
Pentru
a sparge o parola de Yahoo este nevoie de mai multa ingeniozitate
deoarece este un serviciu bine securizat. singura metoda usoara pentru a
sparge o astfel de parola este trimiterea unui troian persoanei
respective, dar acest lucru merge doar in caz ca nu are antivirus - si
cel mai des utilizata
O metoda care sigur merge este SQL
injection. Mysql Injection - introducerea neautorizata a unor date in
baza de date (de obicei cu ajutorul unui formular), pana cand atinge
dimensiuni gigantice (sau pana ajunge la limita maxima impusa de
hosting)
SQL injection (nu doar cu MySQL) nu se refera la date imense ci la comenzi SQL deghizate in parametri pasati inapoi. Exemplu
pagina.php?id=1
si tu ai
mysql_query("SELECT * FROM Tabela WHERE id={$_GET['id']}";
Se poate apela:
pagina.php%3Fid%3D1%3BDELETE+FROM+Tabela
adica
pagina.php?id=1;DELETE FROM Tabela
Aici e problema cu SQL injection: injectare de comenzi SQL in diverse forme - parametri dati in URL, post, cookies, etc.
SQL injection este de departe cea mai mare problema. Mai exista cross site scripting dar aceasta e cu totul alta poveste ...
________________________________________________________________________________
3) PAROLA DE CONECTARE LA UN CALCULATOR
Odata
ce aveti parola de conectare la un calculator ce nu va apartine, puteti
spune ca ati facut rost de un root... si nu e greu deloc.
Exista
la fel ca la mail-uri, mai multe metode de aflare a unei parole. Acest
lucru depinde de porturile deschise pe calculator. Un port este o cale
de comunicare cu exteriorul la calculatorul respectiv. Daca PC-ul
respectiv are portul 139 deschis (cum e calculatorul meu --- sa va vad
ca incercati sa ma hackuiti -- ). Deci, incercati sa va conectati pe un
port, si incercati prima si prima data admin:admin, sau admin:user sau
toate chestiile de genul asta(eventual cu un brute force hack). Daca nu
merge, incercati sa downloadati niste exploit-uri de pe net. Un exploit
este un program ce exploateaza vulnerabilitatea unui protocol, serviciu,
program etc. De obicei le gasiti fisierele sursa pe care puteti sa le
modificati dupa preferinta
________________________________________________________________________________
4)
E acelasi lucru ca spargerea parolei la un calculator, doar ca trebuie
sa aflati IP-ul serverului respectiv. Doar ca trebuie sa ii aflati
IP-ul, ceea ce nu e prea greu.
Acest lucru se poate face cu ajutorul
comenzii: tracert. De exemplu, sa zicem ca serverul dumneavoastra ar fi
yahoo.com :p ... Intrati in start>run>scrieti cmd si dupa aia
scrieti (in fereastra de command prompt) tracert yahoo.com, la care
cmd-ul va va spune: "Tracing route to yahoo.com [66.94.234.13]"
Pentru a afla un user de pe serever-ul respectiv, folositit comanda nbtstat (va ajuta sa gasiti si MAC-ul PC-ului respectiv)...
Style- Membru
Games-Hit :: • General • :: Windows
Pagina 1 din 1
Permisiunile acestui forum:
Nu puteti raspunde la subiectele acestui forum