Взлом страничек vkontakte
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя  |
| Сообщение |
<< Старые топики Новые топики >> |
|
|
Взлом страничек vkontakte - 2011-07-03 13:55:41.883333
|
|
|
red_devil666
Сообщений: 6
Оценки: 0
Присоединился: 2011-07-03 13:38:17.120000
|
Здравствуйте, уважаемые участники!
Заинтересовал вопрос взлома личных страничек пользователей vkontakte и возможно в других социальных сетях.
Расскажите, как это обычно делается, поделитесь информацией, советами, статьями, материалами.
Нашел на форуме соответствующий дискуссионный раздел, начинавшийся со статьи, в которой были описаны какие-то подходы. Часть методов не понял, некоторые другие не понравились. Помогите, пожалуйста, немножко разобраться, поделитесь опытом. Я не хакер, но программировать немножко умею.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-03 14:40:09.293333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Извините все экстрасенсы сейчас заняты, дождитесь ответа экстрасенса, ваш топик очень важен для нас, не переставайте писать чушь.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-03 15:02:30.930000
|
|
|
ssDaRKaNGeLss
Сообщений: 62
Оценки: 0
Присоединился: 2010-10-24 11:38:38.030000
|
:D Улыбнуло от души :D
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-03 15:22:15.910000
|
|
|
red_devil666
Сообщений: 6
Оценки: 0
Присоединился: 2011-07-03 13:38:17.120000
|
Не понял, чем некорректен мой вопрос? И в чем заключается чушь? И почему для ответа на мой скромный вопрос нужны экстрасенсы?
Объясните!
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-03 16:33:25.573333
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ты сказал что нашел инфу, но не понял её.
Ты сказал что нашел на нашем форуме и создал специально тему с вопросом который уже задавали, а значит нарушил правила форума.
Ты сказал что тебе что-то тама не понравилось, а значит ты прочитал и понял что какие то варианты не подходят под твой конкретный случай, а потом взял и создал тему не раскрывающую сути вопроса, а значит нарушил правила форума.
Учитывая что ты дважды нарушил правила, я в праве снести тему и выдать предупреждение.
Теперь попробуй разъяснить всем остальным где ты че нашел, где ты че не понял, что те там не понравилось. Потом уже сиди и мирно жди ответа который был дан не единожды на страницах форума.
Мало того я лично писал фак по тому как ломают акки, а значит ты не пользовался поиском, а значит решил проигнорировать совет администрации который указан в правилах раздела, т.е .как ты относишься к остальным, так остальные относятся к тебе.
Добро пожаловать в интернет.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-03 18:11:03.056666
|
|
|
red_devil666
Сообщений: 6
Оценки: 0
Присоединился: 2011-07-03 13:38:17.120000
|
Нет, это ты кругом нарушил правила своего форума, хоть ты оказывается и модератор. Я же не нарушил ни одного пункта этого форума, и готов тебе сейчас это доказать, т. к. за свои слова отвечаю.
1.quote:
Ты сказал что нашел на нашем форуме и создал специально тему с вопросом который уже задавали, а значит нарушил правила форума
Цитирую пункт правил форума, там черным по белому написано:
"Ты, как новый пользователь, свой ПЕРВЫЙ вопрос (т.е. кол-во сообщений у тебя должно быть равно нулю) можешь задать в этом специальном форуме для новичков (лучше конечно прежде воспользоваться ПОИСКОМ по форуму или поиском по сайту).
Это наш способ помочь тебе освоиться на нашем форуме, однако злоупотреблять этим не надо - в этом форуме от тебя возможен ТОЛЬКО ОДИН вопрос по любой теме, мы всем сообществом постараемся вежливо и культурно ответить на него, дальнейшие вопросы необходимо и обязательно размещать в профильных конференциях."
Я этот пункт правил внимательно прочел и воспользовался своим законным правом задать свой первый и единственный вопрос в теме для новичков. И этим ничего не нарушил и никого не оскорбил.
Кстати, если ты помнишь, этот пункт высылается новичку сразу после регистрации в первом сообщении.
Задавать вопрос в теме, в которой уже набралось 17 страниц текста, мне действительно не захотелось, как правило с такими темами очень тяжело работать, как задающему вопрос, так и отвечающим.
2.quote:
Ты сказал что тебе что-то тама не понравилось, а значит ты прочитал и понял что какие то варианты не подходят под твой конкретный случай, а потом взял и создал тему не раскрывающую сути вопроса, а значит нарушил правила форума
Опять неправда. Мой вопрос задан действительно в очень общей форме, но задан он четко и понятно и суть проблемы полностью раскрыта. Я сразу написал, что я новичок в этой теме, навыками хакерства и взлома не обладаю - я этого не скрывал. Любой человек, только что взявшийся знакомиться с предметом, всегда начинает с таких общих вопросов, это очевидно и тут даже нечего обсуждать. Нет смысла обсуждать какие-то конкретные методики взлома сетей, когда о взломе не имеешь практически никакого представления. Я сейчас нахожусь именно на таком уровне знаний о хакерстве. И мой вопрос: "Расскажите, как ломают аккаунты в социальных сетях, какие существуют методики и подходы" в моем случае предельно четкий и конкретный, другого вопроса сейчас я в принципе задать не могу.
3.Опять цитирую правила:
"в этом форуме от тебя возможен ТОЛЬКО ОДИН вопрос по любой теме, мы всем сообществом постараемся вежливо и культурно ответить на него."
quote:
Извините все экстрасенсы сейчас заняты, дождитесь ответа экстрасенса, ваш топик очень важен для нас, не переставайте писать чушь.
Это что, вежливый и культурный ответ? Сомневаюсь.
Все остальное аналогично.
Так что предлагаю нам с тобой не выяснять отношения по пустому поводу, а перейти к нормальному мирному разговору.
Я смотрел вот это
http://forum.xakep.ru/m_1123278/tm.htm
инструкция от [ TRaY ], сообщение #1.
Многое действительно не понял из-за изобилия незнакомых терминов, отдельные методики мне не нравятся и не подходят.
Через пару-тройку часов я готов конкретно написать, что меня не устроило в этом описании и позадавать вопросы, сейчас не могу из-за дел.
Если же кто-то в этот промежуток времени возьмет на себя труд перечислить основные существующие способы взлома подобных сервисов и простыми понятными словами рассказать, в чем их суть, буду очень благодарен. Если есть в рунете приличные статьи, раскрывающие этот предмет и вы можете дать на них ссылки, буду также очень рад.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-03 18:16:44.120000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Все форумы >> [Взлом] >> Для начинающих >> Взлом страничек vkontakte
ждем конкретики, но если вы обидитесь на ссылки на википедию, заранее извиняюсь.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-03 21:30:57.466666
|
|
|
K41T
Сообщений: 116
Оценки: 0
Присоединился: 2011-06-14 18:11:14.186666
|
Объясните по-конкретней, что и где не понятно? Какие-нибудь термины? Способы осуществления? Нам нужно от чего-то оттолкнуться.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-03 22:23:55.126666
|
|
|
ЙфяЦычУвс
Сообщений: 133
Оценки: -20
Присоединился: 2011-01-15 02:32:22.233333
|
разу скажу брут не используй! дохлый номер..мжно фейк использовать…лично я учусь XSS пока н=много непонятного….но нужно пытаться
а так конкретно скажи свои цели…почему не подходят конкретные способы..
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-04 01:34:13.566666
|
|
|
red_devil666
Сообщений: 6
Оценки: 0
Присоединился: 2011-07-03 13:38:17.120000
|
Парни, я перечитал еще раз инструкцию от TRaY и что-то в ней понял.
Не понравился в ней один момент. По сути дела все советы в ней сводятся к фейку (в широком смысле слова). Т. е. мы создаем для "жертвы" специальную опасную страничку или ссылку, со своего аккаунта показываем ей эту ссылку (вступаем в переписку или даем как-то по-другому увидеть эту ссылку), заманиваем на нее (тут важно пробудить любопытство или чтобы тематика ссылки соответствовала интересам атакуемого), после чего атакуемый запускает этот файл в своем браузере.
Далее с опасным файлом возможны следующие варианты.
Это может быть обыкновенный фейк. Т. е. на каком-то веб-хостинге (платном или свободном) мы создаем страничку, в точности или почти в точности повторяющую страничку ввода логина и пароля (страничку авторизации) "ВКонтакте". Создаем таким образом у пользователя иллюзию, что во время пользования соцсетью логин/пароль (т. е. куки) слетел из браузера и для перехода по ссылке ему необходимо вновь зарегистрироваться в соцсети. Я так понимаю, чтобы это сделать, достаточно сохранить у себя на компьютере исходную страничку авторизации и исправить в текстовом редакторе скрипт, который направлял соответствующие строковые переменные на web-сервер VKontakte, чтобы он уже отсылал их на веб-сервер или почтовый ящик хакера. Думаю, лучше все-таки использовать веб-сервер, т. к. отсылку электронного письма из браузера может зафиксировать файрвол. И еще очень желательно url-адрес фальшивой странички сделать похожим на адрес настоящей странички авторизации, хотя это может оказаться очень проблематичным (или дорого стоить).
Основной недостаток такого метода в том, что он хорош только для пользователя, не знающего компьютер и программирование. Если пользователь немножко разбирается в этих вещах или очень подозрителен и слышал о такого рода подставах, то этот подход может не сработать. Та же "ВКонтакте" при попытке перейти по ссылке за пределы сайта начинает грязно орать и предупреждать пользователя, даже если ссылка абсолютно безвредная. Потом по большому счету здесь никакого взлома системы и нет, это просто элементарный обман пользователя, не более того. Самое сложное здесь - завлечь его, т. е. это больше психологическая обработка.
Вместо фейка авторизации страничка может содержать загрузку трояна. Это может быть сборщик паролей (пинч), который из временных файлов браузера будет выуживать пароли (скорее всего из куки), это может быть кейлоггер (клавиатурный шпион), это может быть анализатор траффика и т. д. Тут я вижу 3 проблемы.
1.Троян должен оказаться незамеченным антивирусом.
2.Троян должен установиться в систему. Т. е. браузер должен записать исполнимый coff-файл (exe или dll) в какой-нибудь каталог и модифицировать какой-нибудь из разделов автозапуска реестра, добавив ссылку на этот файл. Боюсь, что сам браузер не позволит свободно выполнить эти операции из скрипта, значит в нем нужно искать какие-то уязвимости или обходные пути.
3.Когда троян начнет отсылать свои данные на сервер хакера, его не должен зафиксировать файрвол как процесс, устанавливающий сетевое соединение. Как его спрятать от файрвола - не знаю, может попытаться как-то внедрить в браузер в виде плагина или dll-ки, загружаемой в адресное пространство процесса браузера. Может, есть еще какие-то способы.
Вместо трояна можно, наверное, использовать какой-то вредоносный скрипт, встроенный в саму html-страничку. Этот скрипт мог бы открывать все куки из временных папок данного браузера, считывать их содержимое и отсылать на сервер хакера. Скрипт мог бы быть написан на любом стандартном браузерном языке: php, perl, javascrypt. Не знаю, насколько этот вариант осуществим.
Наверное есть еще несколько способов, как использовать эту страничку-приманку для выуживания пароля.
Далее, TRaY рассматривает вариант brute force атаки на страничку пользователя, т. е. метод простого перебора. Там даже им приведена небольшая программка, написанная кажется на Перле. Но у этого способа есть свои ограничения. Предположим даже, что пароли большинства пользователей просты и с вероятностью в 70% они есть в "словаре" паролей. ВКонтакте для входа пользователя в систему использует e-mail в качестве логина и естественно пароль. e-mail пользователя (т. е. его логин) мы скорее всего не знаем, т. к. вместо него в адресной строке браузера мы видим лишь идентификатор пользователя вида idxxxxxxxx, ничего общего с логином не имеющий. Так что перебирать нам придется не только пароли из словаря, но и всевозможные электронные почтовые ящики, т. е. этот вариант со 100% вероятностью обречен на провал, если мы не знаем адреса электронной почты атакуемого. И даже если мы знаем e-mail (логин), от этого способа вскрытия очень легко уберечься, достаточно после определенного небольшого количества попыток входа по одному и тому же логину поставить таймер или картинку с цифрами и буквами. В первом случае время перебора растянется до бесконечности, во втором хакеру придется писать программу распознавания образов (OCR). Не думаю, что программисты ВКонтакте такие идиоты, что не предусмотрели этот простейший способ защиты. Хотя кто их знает? Так что метод грубой силы скорее всего отпадает.
Мне не понравились варианты со ссылкой-приманкой (фейк, троян и т. п.) тем, что это все по сути дела фейк, обман пользователя. Взлома компьютерной системы как такого тут нет. Этот способ требует, чтобы пользователь сам повелся на обман, т. е. это в большей степени "социальный инжениринг". Мне хотелось бы узнать о таком методе взлома странички ВКонтакте, при котором все бы шло втихую и незаметно от пользователя, чтобы сам пользователь к этому процессу даже не привлекался. Чтобы какой-нибудь комбинацией запросов-команд к серверу ВКонтакте можно было обойти защиту системы, получить доступ к базе логинов и паролей или хотя бы получить от системы пару логин-пароль для данного конкретного пользователя. Или, если это возможно, получить доступ к страничке пользователя вообще без логина и пароля (если такое в принципе возможно). Как это сделать - методом переполнения буфера, нахождением уязвимостей в системе управления правами доступа к ресурсам сервера или как-то по-другому, я не знаю. Вообще рассуждаю об этом вопросе так расплывчато потому, что очень плохо его себе представляю.
Вот в общем-то, что меня интересует, вот почему мне не совсем понравились методики, предложенные TRaY. Может ли мне кто-нибудь что-то рассказать по интересующему меня вопросу? То, о чем я говорю, реалистично, возможно ли в принципе осуществить на практике или нет?
P.S.
Т. к. я этим делом никогда не занимался, мог в своем посте написать кучу безграмотных и неверных вещей. Прошу к этому отнестись снисходительно и с пониманием, если грубые ошибки есть, просто укажите мне на них.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-04 03:12:33.466666
|
|
|
ЙфяЦычУвс
Сообщений: 133
Оценки: -20
Присоединился: 2011-01-15 02:32:22.233333
|
Ну у тебя и планы!!! честно всю систему хакнуть сложно..
я сам так как ты месяца 2 назад думал….модеры могут рассказать(тема про банки), но в принципе те надо хакнуть админку или типа того..
лично я использую сборку радмина 3 с отправкой ип на мыло…сама сборка не палится и обходит фаерволы(плюсы) щас думаю как сделать так чтобы
при переходе по ссылке файл скопировался и запустился…в общем на фейки ведутся многие….я тут баг вконтакте нашел офишировать не буду…
спалят. Пиши в аську 641-238-236 или скайп ritter5d. Ток сообщи что ты по поводу вконтакте…Есть способ который не требует действий со стороны пользователя…это активные XSS…но я пока в них неочень шарю да и админы не спят они их быстро гасят…ну обращайся надо с тобой поговорить….понять кто ты и что знаешь.
П.С.
Админы щас будут издеваться))
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-04 15:45:20.723333
|
|
|
red_devil666
Сообщений: 6
Оценки: 0
Присоединился: 2011-07-03 13:38:17.120000
|
quote:
ORIGINAL: ЙфяЦычУвс
Пиши в аську 641-238-236 или скайп ritter5d. Ток сообщи что ты по поводу вконтакте…Есть способ который не требует действий со стороны пользователя…это активные XSS…но я пока в них неочень шарю да и админы не спят они их быстро гасят…ну обращайся надо с тобой поговорить….понять кто ты и что знаешь.
П.С.
Админы щас будут издеваться))
OK, я не против.
Только давай подождем до вечера, очень интересно, что другие более опытные участники напишут по поводу всего этого.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-04 20:10:18.353333
|
|
|
DiversantGP
Сообщений: 12
Оценки: 0
Присоединился: 2011-03-01 20:09:23.440000
|
quote:
Мне не понравились варианты со ссылкой-приманкой (фейк, троян и т. п.) тем, что это все по сути дела фейк, обман пользователя. Взлома компьютерной системы как такого тут нет. Этот способ требует, чтобы пользователь сам повелся на обман, т. е. это в большей степени "социальный инжениринг". Мне хотелось бы узнать о таком методе взлома странички ВКонтакте, при котором все бы шло втихую и незаметно от пользователя, чтобы сам пользователь к этому процессу даже не привлекался. Чтобы какой-нибудь комбинацией запросов-команд к серверу ВКонтакте можно было обойти защиту системы, получить доступ к базе логинов и паролей или хотя бы получить от системы пару логин-пароль для данного конкретного пользователя. Или, если это возможно, получить доступ к страничке пользователя вообще без логина и пароля (если такое в принципе возможно). Как это сделать - методом переполнения буфера, нахождением уязвимостей в системе управления правами доступа к ресурсам сервера или как-то по-другому, я не знаю. Вообще рассуждаю об этом вопросе так расплывчато потому, что очень плохо его себе представляю. А вот это сильно. "Я хочу получить доступ к серверам вконтакте и скопировать информацию". Эм.. Мне кажется, или это из серии "пацаны, надо взломать сайт Пентагона"? Поймите, у такого серьезного веб-сайта как Вконтакте этих "дыр" просто нет, а если они и существуют, то уж никак не в открытом доступе. "Я ничего не понимаю, но хочу все и сразу". Звучит довольно нагло и довольно смешно. Знайте - в системах подобных контакту есть только один слабый элемент - юзверь. И только через его неграмотность вы сможете получить доступ к личной информации. Пути уже описаны выше - 1. Веб-фейк (занимался примерно год, от сотни до тысячи аккаунтов в день) 2. Троян-стилер (занимаюсь на данный момент, все зависит от того в каких колличествах впаривать + огромная вкусняшка в виде всех остальных паролей с ПК жертвы (Webmoney, яд и все что душа пожелает). Альтернатив нет, да они и не нужны, ибо эти два варианта при прямизне рук очень прибыльны и эффективны.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-05 07:21:07.523333
|
|
|
red_devil666
Сообщений: 6
Оценки: 0
Присоединился: 2011-07-03 13:38:17.120000
|
Еще раз повторюсь.
Фейк (фальшивая страничка регистрации) - это вообще не взлом, это довольно грубый обман пользователя.
Страничка-приманка со скриптом и трояном - это уже взлом, но взлом не службы соцсети, а личного компьютера пользователя. Совершенно разные вещи.
quote:
"Я ничего не понимаю, но хочу все и сразу". Звучит довольно нагло и довольно смешно.
Пустой разговор и ни о чем, на уровне торговок на базаре.
quote:
Знайте - в системах подобных контакту есть только один слабый элемент - юзверь. И только через его неграмотность вы сможете получить доступ к личной информации. Пути уже описаны выше - 1. Веб-фейк (занимался примерно год, от сотни до тысячи аккаунтов в день) 2. Троян-стилер (занимаюсь на данный момент, все зависит от того в каких колличествах впаривать + огромная вкусняшка в виде всех остальных паролей с ПК жертвы (Webmoney, яд и все что душа пожелает). Альтернатив нет, да они и не нужны, ибо эти два варианта при прямизне рук очень прибыльны и эффективны
А вот это уже ничто иное как признание собственной несостоятельности. Признание того, что ты освоил только один способ взлома - взлом компа пользователя через браузер, т. е. самой дырявой системы через самую небезопасную программу, какая только есть. Это даже я при большом желании, обладая минимумом знаний, наверное смогу сделать. Хороший хакер - это не тот, который освоив минимум простейших техник, останавливается на достигнутом и объявляет себя светилой и крупным знатоком. Это как раз признак плохого специалиста.
quote:
Поймите, у такого серьезного веб-сайта как Вконтакте этих "дыр" просто нет, а если они и существуют, то уж никак не в открытом доступе.
А ты уверен, что этот сайт настолько безопасен и настолько хорошо защищен? Насколько мне известно, системы, сверхустойчивые к взлому, - очень большая редкость. Тот же сервер Apples на днях хакеры взломали, а его, я уверен, делали и администрировали далеко не дураки. Те же банковские системы периодически взламывают, а они уж, поверь, защищены по-максимуму. Не думаю, что контакт лучше защищен, к тому же это довольно сложная система с кучей игрулек, развлечений, мультимедийных штучек. В такой системе очень сложно не допустить промахов, очень сложно ее спроектировать со 100% защищенностью.
На счет
quote:
"Я ничего не понимаю, но хочу все и сразу"
Пойми, у меня к этому пока что чисто теоретический интерес. Вместо контакта я мог сказать фейсбук, твиттер, одноклассники, амазон, ебэй и т. д. (примеров можно миллион придумать). Мне хотелось понять, как взламывают подобные системы, какие есть подходы, с какого конца вообще начинают. В чем сложности, что можно реально сделать. Нужно ли для этого ломать систему целиком с получением полных прав доступа? Или же для получения доступа к личному аккаунту пользователя (или двух-трех пользователей) достаточно произвести частичный взлом системы, не нужно ломать ее целиком (я тут не имел в виду фейк и взлом личного компьютера пользователя). Я действительно задавал свой вопрос с позиции новичка, и не вижу в том ничего зазорного. Если бы ты мне рассказал, как устроен контакт и ему подобные системы, с какого конца к нему можно подойти, в чем сложности взлома его и ему подобных систем, где у них могут быть слабые места, как их найти и как ими воспользоваться, это было бы гораздо интереснее. Или хотя бы дал литературу почитать.
quote:
Троян-стилер (занимаюсь на данный момент, все зависит от того в каких колличествах впаривать + огромная вкусняшка в виде всех остальных паролей с ПК жертвы (Webmoney, яд и все что душа пожелает).
Вот с этим я целиком согласен, но это я и раньше знал. Меня же сейчас интересовало несколько другое.
PS
Интересно также мнение других форумчан.
|
|
|
|
|
RE: Взлом страничек vkontakte - 2011-07-05 07:37:25.036666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Как устроен контакт читай в одном из номеров журнала за этот год. Январь или февраль если не ошибаюсь.
С какого конца? Как ломают банки?
Эта тема уже была. Повторюсь. ВСЕ ВСЕ случаи взлома банков были изнутри. Ни один взлом не был осуществлен снаружи. Тоже самое касается эпла.
С чего начать?
Поставь себе винду и линукс. Поставь на них различные сервера. Настрой. Подними сайт. Подними форум. Подними демон почты.
Потом переходи на бздю.
Вот когда все это сможешь делать закрытыми глазами, вот тогда ты сможешь понять как ломают крупные сайты.
Потом переходи к отладчику, программированию, сплоетам, инъекциям.
Следующий шаг научиться искать. Что искать? Уязвимости. Нарабатывать руку. Это лет 5-10.
И вот спустя лет 15 ты сможешь спорить какой способ лучше для взлома и воспринимать СИ как способ взлома, а не как мелкую шалость.
|
|
|
|
|
|
