Jak włamać się na pocztę e-mail? | PORADNIK hakera

Jeśli zastanawiasz się jak włamać się na pocztę (…)” to dobrze trafiłeś. W naszym wpisie powiemy jak odzyskać zapomniane hasło do maila (PAMIĘTAJ O ASPEKCIE PRAWNYM!) za pomocą narzędzia do audytu bezpieczeństwa. Wrócimy dzisiaj znowu do uniwersalnego narzędzia THC-Hydra zupełnie tak jak we wpisie jak włamać się do routera dostępnego z filmem. Wykorzystamy znowu atak słownikowy, chociaż możemy również wygenerować słownik z wszystkich kombinacji znaków dzięki czemu będzie to można powiedzieć atak brute-force. Atak jest stosunkowo prosty dla każdego przyszłego hakera. Będziemy potrzebować adres e-mail potencjalnej ofiary ataku, słownik *.txt (do ataku słownikowego oczywiście), informacje o numerze portu który wykorzystuje serwer do komunikacji z użytkownikami poczty (dostępne często na stronie pocztu gdzieś w pomocy) i adres serwera SMTP poczty elektronicznej. Więc jak włamać się na pocztę mailową? Jak włamać się na pocztę e-mail - mail hacking

Od czego zacząć? Jak się komuś włamać na maila?

Nie będę się w tym podpunkcie rozpisywał na temat łamania hasła do maila, po pierwsze zanim przystąpisz do działań spróbuj zgadnąć na podstawie informacji o ofierze bądź za pomocą informacji z Facebooka tzn. ‚podpowiedź’ która umożliwia odzyskanie hasła. Większość dzisiejszych poczt posiada tą formę odzyskiwania hasła. Może być to sposób dużo szybszy niż łamanie za pomocą ataków siłowych. Możesz również skonsultować się z pomocą techniczną poczty w celu odzyskania hasła.

Czym jest atak słownikowy?

Atak słownikowy (ang. dictionary attack) jest metodą włamania do chronionego hasłem komputera lub serwera, poprzez systematyczne wprowadzanie każdego słowa ze słownika w którym jest pokaźna lista haseł. Słownik może być również używany w celu znalezienia klucza niezbędnego do odszyfrowywania zaszyfrowanej wiadomości lub dokumentu.

Jeśli chcesz więcej dowiedzieć się o algorytmie ataku za pomocą ataku słownikowego zajrzyj do wpisu o łamaniu hasła routera.

 Jak włamać się na pocztę – łamanie hasła e-mail THC-Hydra

  1. Uruchamiamy system Kali Linux (bądź inny, najlepiej z zainstalowaną już THC-Hydra) na wirtualnej maszynie VirtualBox bądź na naszym dysku twardym w standardowy sposób
  2. Uruchamiamy terminal Application -> Accesoriess -> Terminal
  3. Wydajemy polecenie:

    przykładowo dla adresu e-mailowego przyklad1@wp.pl na serwerze wp.pl (info TUTAJ) wpisujemy:
  4. Trzymamy kciuki nad powodzeniem ataku siłowego.
  5. Gotowe, teraz już wiesz jak się włamać na konto pocztowe  :)

 

Parametry programu THC-hydra łamanie serwera pocztowego smtp – wyjaśnienie


hydra – nazwa programu hydra

-l przyklad1@wp.pl – adres który chcemy złamać

-P hasla.txt – zbiór potencjalnych haseł w słowniku tekstowym (atak słownikowy). Słownik musi posiadać odpowiednie kodowanie znaków (znaki końca linii itd).

-S – wykorzystaj również SSL

-e ns – w specjalnych przypadkach (np brak hasła (spacje)) używa loginu jako hasła aby nie przerwać procesu sprawdzania

-V – tzn. tryb gadatliwy (wyświetla więcej informacji na ekranie).

-s – port serwera SMTP

-smtp.wp.pl – adres serwera z którego są wysyłane maile (dostępne informacje w pomocy danej poczty)

smtp – protokół uwierzytelnienia na którym łamiemy hasła

Film instruktażowy jak włamać się na pocztę:

Film jest do pobrania w zakładce WIDEO / DOWNLOAD lub bezpośrednio tutaj.

Obrona

Jak bronić się przed tego typu „brutalnymi” atakami na nasze skrzynki pocztowe? Używajmy silnych haseł! Więcej o silnych hasłach tutaj:

Podsumowanie

Aby zwiększyć siłę hakowania poczty możemy ją atakować z wielu komputerów/kont shellowych (logując się zdanie za pomocą SSH), bądź poprosić kolegów o pomoc (w celu zwiększenia prędkości ataku). Pamiętaj że atak możesz przeprowadzać tylko na swojej skrzynce pocztowej, w innym przypadku takie testy bezpieczeństwa są nielegalne! Teraz już wiesz jak włamać się na pocztę przykładowo WP (wejść na pocztę bez hasła?:)). Może zainteresuje Cię jeszcze:

Pozdrawiamy!



267 myśli na temat “Jak włamać się na pocztę e-mail? | PORADNIK hakera

    1. To napisz e-mail do administracji danej poczty. Poproszą Cię prawdopodobnie o kilkanaście informacji potwierdzających Twoją tożsamość i że konto należało do Ciebie.

  1. Witam mam pytanie uzylem tego hydra -l …..@gmail.com -P 1.txt -S -e ns -V -s 465 smtp.gmail.com smtp
    i za kadym razem wyskakuje inne haslo,adne z nich niedziala.O co chodzi?Robiem to na kalim

    1. Przeczytałeś wszystkie komentarze przed zadaniem pytania? Odpowiedź już padała wielokrotnie. :-)

    1. O odzyskiwaniu hasła jest ten poradnik jakbyś nie zauważył. Żadnych usług nie świadczymy.

    2. A co jesli haslo jest zlozone z nieprawdziwych slow? Jesli jest haslo mocne to ta metoda pomoze? Chce tylko odzyskac maila zrobionego z losowych danych na szybko…

    3. Za pomocą cruncha wygenerować taki słownik. Czas który potrzebny jest do sprawdzenia można policzyć za pomocą kalkulatora i permutacji ze szkoły średniej. Im bardziej złożone hasło, tym jest bezpieczniejsze. Słownik to tylko przenośnia. Nie musi zawierać prawdziwych słów, tylko potencjalne hasła.

  2. Hej.kompletnie tego nie rozumiem, nawet nie probuje bo nie dam rady. Niestety mam umysł humanisty. Czy znalazlby sie ktos kto pomoglby mi w zalogowaniu sie do konta na poczcie onet albo na facebokku?

    1. Nie bo to blog dla hobbistów i specjalistów przyszłych od bezpieczeństwa informatycznego a nie przestępców. :-)

  3. root@root:~# hydra -l ***@wp.pl -p haslo.txt -V -s 465 smtp.wp.pl smtp
    Hydra v7.1 (c)2011 by van Hauser/THC & David Maciejak – for legal purposes only

    Hydra (http://www.thc.org/thc-hydra) starting at 2016-02-20 11:58:54
    WARNING: Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 seconds to abort…
    [DATA] 1 task, 1 server, 1 login try (l:1/p:1), ~1 try per task
    [DATA] attacking service smtp on port 465
    [ATTEMPT] target smtp.wp.pl – login „***@wp.pl” – pass „haslo.txt” – 1 of 1 [child 0]
    [RE-ATTEMPT] target smtp.wp.pl – login „***@wp.pl” – pass „haslo.txt” – 1 of 1 [child 0]
    [STATUS] 1.00 tries/min, 1 tries in 00:01h, 0 todo in 00:01h
    [RE-ATTEMPT] target smtp.wp.pl – login „***@wp.pl” – pass „haslo.txt” – 1 of 1 [child 0]
    Error: Too many connect errors to target, disabling smtp://smtp.wp.pl
    0 of 1 target successfuly completed, 0 valid passwords found
    Error: 1 target did not resolve or could not be connected
    Hydra (http://www.thc.org/thc-hydra) finished at 2016-02-20 12:00:41
    Haslo w txt bylo w 26 kolumnie, czyli musial przebic wszystkie haslo czy az do momentu zdobycia tego jednego? A tak po za tym w czym leży błąd?
    ( w miejscach *** byl moj email)

    1. U nas jest troszeczke inne polecenie:
      hydra -l przyklad1@wp.pl -P hasla.txt -S -e ns -V -s 465 smtp.wp.pl smtp
      Po zatym wyraźnie pisze u ciebie login try (l:1/p:1) czyli sprawdza tylko jeden login i jedno hasło. Spowodowane jest to tym że użyłeś parametru -p zamiast -P. Ten drugi służy do sprawdzania haseł z pliku. Analogicznie jakbyś chciał przetestować wiele loginów używasz zamiast -l parametru -L.

    2. „[STATUS] attack finished for smtp.wp.pl (waiting for children to finish)
      1 of 1 target successfuly completed, 0 valid passwords found”
      przy uzyciu komendy „hydra -l ****@wp.pl -P kopia.txt smtp.wp.pl smtp”,a chwile wczesniej wypalilo przy uzyciu tej komendy.
      „hydra -l ***@wp.pl -P kopia.txt -S -e ns -V -s 465 smtp.wp.pl smtp”
      wyskakuje to: „Error: Too many connect errors to target, disabling smtp://smtp.wp.pl
      0 of 1 target successfuly completed, 0 valid passwords found
      Error: 1 target did not resolve or could not be connected”

    3. Być może wp wprowadziło już jakieś zabezpieczenia i komenda wymaga dostosowania do dzisiejszych realiów (czytaj komentarze, jest ich aż 255). Wpis już trochę ma. Wydaje mi się że korzystasz z hydry 7.1. Spróbuj w darmowym systemie operacyjnym Kali Linux 2.0. Tak jest nowa hydra zainstalowana w wersji 8.1

  4. AGFRAZ – a moglbys to zrobic? potrzebuje dostepu do email mojego chlopaka story rok tem zmarl, chcialabym odzyskac wszystkie zdjecia i td… a nie znam zadnego sposobu zeby odnales kogos kto bedzie potrafil to zrobic oczywiscie cos za cos. Jezli tak to pliz naipsz na [E-MAIL WYCIĘTY]

    1. Spójrz na dział kontakt. Wyraźnie piszemy tam, że nie zajmujemy się takimi rzeczami. Pozostaje Ci tylko kontakt z administracją danego portalu który udostępnia Ci konto e-mail.

    1. Wpis jest z 2013 roku a jest 2016. To zależy od poczty. Czasem logując się bezpośrednio po protokole a nie za pomocą webaplikacji www takich wymogów i filtrów nie ma :-)

    2. udało mi se to uruchomić na win7. sprawdzilem na swoim wlasnym koncie wp. w pliku textowym wpisalem tylko 1 poprawne haslo. i tak nie dziala. 0 vali passwords found

    3. kolego, brakuje mi tylko jednej rzeczy. formatu w jakim powinny byc napisane hasla. Niestety ni emo0ge tego znalezc w komentarzach. Moglbys napisac jak to ma wygladac ? ja mam w pliku textowym poprostu powypisywane hasla. haslo spacja haslo. czy tak jest ok ?? musze tam wstawic jakies znaki konca linii itd ?? nie wiem jak to zrobic

    4. Każde hasło w nowej linii. Większość słowników tak jest zbudowanych. Gdyby spacja była separatorem to zdanie nie mogłoby być hasłem a jednak może być…

    5. nie dziala. musieli jakies zabezpieczenia zrobic. tak jak mowilem, wpisuje swoje dobre haslo w txt i nic. A jest taka opcja ze na win7 mi nie znajduje halsa a na linuxie juz znajdzie ?? Moze program zle dziala.

    6. Odpowiedź padła wielokrotnie w 250 komentarzach. Wpis jest z 2013 roku i tylko ma zarysować problem a nie umożliwiać hakowanie kont e-mail.

    1. Zajrzyjmy do dokumentacji:

      -l or -L
      login with LOGIN name, or load several logins from FILE
      -p or -P
      try password PASS, or load several passwords from FILE

      Tak można. Kiedyś ta metoda wspomniana przez Ciebie była wykorzystywana przez cyberprzestępców do próby zalogowania się do kont bankowych losowych osób bo przy próbie wielokrotnego logowania na jedno konto było ono zawieszane. Logiczny też jest fakt „że ktoś z dużym prawdopodobieństwem przecież musi posiadać takie hasło gdzieś na świecie”.

    2. Niestety na kompach znam sie slabo a potrzebuje dostep do konkretnego maila, czy jestes w stanie mi pomoc?

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *