Jeśli zastanawiasz się jak włamać się na pocztę (…)” to dobrze trafiłeś. W naszym wpisie powiemy jak odzyskać zapomniane hasło do maila (PAMIĘTAJ O ASPEKCIE PRAWNYM!) za pomocą narzędzia do audytu bezpieczeństwa. Wrócimy dzisiaj znowu do uniwersalnego narzędzia THC-Hydra zupełnie tak jak we wpisie jak włamać się do routera dostępnego z filmem. Wykorzystamy znowu atak słownikowy, chociaż możemy również wygenerować słownik z wszystkich kombinacji znaków dzięki czemu będzie to można powiedzieć atak brute-force. Atak jest stosunkowo prosty dla każdego przyszłego hakera. Będziemy potrzebować adres e-mail potencjalnej ofiary ataku, słownik *.txt (do ataku słownikowego oczywiście), informacje o numerze portu który wykorzystuje serwer do komunikacji z użytkownikami poczty (dostępne często na stronie pocztu gdzieś w pomocy) i adres serwera SMTP poczty elektronicznej. Więc jak odzyskać hasło do poczty e-mail?
Od czego zacząć? Jak się komuś włamać na maila?
Nie będę się w tym podpunkcie rozpisywał na temat łamania hasła do maila, po pierwsze zanim przystąpisz do działań spróbuj zgadnąć na podstawie informacji o ofierze bądź za pomocą informacji z Facebooka tzn. 'podpowiedź’ która umożliwia odzyskanie hasła. Większość dzisiejszych poczt posiada tą formę odzyskiwania hasła. Może być to sposób dużo szybszy niż łamanie za pomocą ataków siłowych. Możesz również skonsultować się z pomocą techniczną poczty w celu odzyskania hasła i napisać po prostu widomość z pytaniem jak odzyskać hasło do poczty.
Czym jest atak słownikowy na pocztę?
Atak słownikowy (ang. dictionary attack) jest metodą włamania do chronionego hasłem komputera lub serwera, poprzez systematyczne wprowadzanie każdego słowa ze słownika w którym jest pokaźna lista haseł. Słownik może być również używany w celu znalezienia klucza niezbędnego do odszyfrowywania zaszyfrowanej wiadomości lub dokumentu.
Jeśli chcesz więcej dowiedzieć się o algorytmie ataku za pomocą ataku słownikowego zajrzyj do wpisu o łamaniu hasła routera. Jak włamać się na pocztę mailową (wp/o2/gmail/onet/interia)?
Jak włamać się na pocztę – łamanie hasła e-mail THC-Hydra
- Uruchamiamy system Kali Linux (bądź inny, najlepiej z zainstalowaną już THC-Hydra) na wirtualnej maszynie VirtualBox bądź na naszym dysku twardym w standardowy sposób
- Uruchamiamy terminal Application -> Accesoriess -> Terminal
- Wydajemy polecenie:
hydra -l MAIL_OFIARY -P slownik.TXT -S -e ns -V -s PORT_SERWERA_SMTP adres_smtp_serwera smtpprzykładowo dla adresu e-mailowego przyklad1@wp.pl na serwerze wp.pl (info TUTAJ) wpisujemy:
hydra -l przyklad1@wp.pl -P hasla.txt -S -e ns -V -s 465 smtp.wp.pl smtp - Trzymamy kciuki nad powodzeniem ataku siłowego.
- Gotowe, teraz już wiesz jak się włamać na konto pocztowe 🙂
Parametry programu THC-hydra łamanie serwera pocztowego smtp – wyjaśnienie
- hydra – nazwa programu hydra
- -l przyklad1@wp.pl – adres który chcemy złamać
- -P hasla.txt – zbiór potencjalnych haseł w słowniku tekstowym (atak słownikowy). Słownik musi posiadać odpowiednie kodowanie znaków (znaki końca linii itd).
- -S – wykorzystaj również SSL
- -e ns – w specjalnych przypadkach (np. brak hasła (spacje)) używa loginu jako hasła aby nie przerwać procesu sprawdzania
- -V – tzn. tryb gadatliwy (wyświetla więcej informacji na ekranie).
- -s – port serwera SMTP
- -smtp.wp.pl – adres serwera z którego są wysyłane maile (dostępne informacje w pomocy danej poczty)
- smtp – protokół uwierzytelnienia na którym łamiemy hasła
Film instruktażowy jak włamać się na pocztę:
Film jest do obejrzenia w zakładce filmy lub bezpośrednio tutaj: jak odzyskać hasło do poczty?
Obrona
Jak bronić się przed tego typu „brutalnymi” atakami na nasze skrzynki pocztowe? Używajmy silnych haseł! Więcej o silnych hasłach tutaj:
Podsumowanie
Aby zwiększyć siłę hakowania poczty możemy ją atakować z wielu komputerów/kont shellowych (logując się zdanie za pomocą SSH), bądź poprosić kolegów o pomoc (w celu zwiększenia prędkości ataku). Pamiętaj że atak możesz przeprowadzać tylko na swojej skrzynce pocztowej, w innym przypadku takie testy bezpieczeństwa są nielegalne! Teraz już wiesz jak włamać się na pocztę przykładowo WP (wejść na pocztę bez hasła?:)). Może zainteresuje Cię jeszcze:
- Generowanie słowników do tego typu ataków
- Jak włamać się na Facebooka – metoda na „wędkarza”
- Polub Nas na Fejsie TUTAJ, aby być na bieżąco
Pozdrawiamy!
„JESTEŚ BOGIEM”
Hahaha xd Skąd bierzesz informacje o takich rzeczach? Nigdzie w sieci nie mogę się na to natkąć. Serio, rządzisz facet.
Jak wpiszesz samo hydra podpowiada jakie ma parametry możliwe do wykorzystania, wystarczy czytać help’y do programów. 🙂
czesc mam pytanie czy ta metoda działa tylko z emailem?? czy moze np fb netflix spotify etc. tez sie da??
Nie , Nie , Nie , Nie !
no prawda
Mój komputer odrzuca pobranie hydry, jak zrobić, by się pobrała?
Wyłącz windows defendera i anty wirusa jak jakiegoś masz
Witam, co do Twojego poradnika to od razu mówię, że nie testowałem, ale z tego co mi wiadomo to po 3 nieudanych próbach logowania na wp.pl (zresztą pewnie nie tylko na wp) wyświetla się okno o próbie przypomnienia hasła, więc nie wiem czy w ten sposób będzie dało rade łamać to hasło. Pod tekstem masz błąd ortograficzny, a mianowicie chodzi mi o wyraz „bieżąco”, który źle napisałeś: Polub Nas na Fejsie TUTAJ, aby być na bierząco.
Pozdro
Dziękuje za poprawę. Co do pierwszej sprawy mylisz się, protokół smtp (testowałem słownik 200 słów na koncu hasło) na pocztach (testowane na wp) pozwalają na wielokrotne próby logowania. Zjawisko o którym mówisz nie występuje ponieważ nie logujemy się przez stronę i jej skrypty www, a bezpośrednio do serwera SMTP. To tak samo jakbyś wielokrotnie w jakimś kliencie poczty próbował wpisać hasło (np. thunderbird). Nie prosi Cię o przypomnienie hasła, a podanie ponownie poprawnego. Jutro lub w najbliższym czasie dodam film o tym zagadnieniu, bo nie zdążyłem i pojawi się w wpisie i na naszym fanpage:) Pozdrawiam i dziękuje.
Bardzo pomocny wpis, wszystko przejrzyste i łatwe do zrozumienia 😉 Mam tylko jedno pytanie, otóż hasło do poczty na wp musi zawierać również conajmniej jedną cyfrę. Ściągnęłam pokaźnych rozmiarów słownik, który zawiera same wyrazy. Czy jest jakiś sposób by do tych słów automatycznie dodawały się np. 4 cyfry? Nie chcę używać metody siłowej bo wiem że hasło to nie losowe litery, tylko słowo + liczba.
Jeśli jest to pojedyncze słowo to:
https://www.haker.edu.pl/2013/10/14/generowanie-slownika-brute-force/
Albo musiałbyś zmodyfikować ten kod źródłowy:
Zastanawiam się ale nie mogę sobie przypomnieć narzędzia gotowego do tworzenia dokładnie takich permutacji o które Ci chodzi z pliku tekstowego. Jeśli coś wymyśle niedługo to pośle maila z informacja 🙂
Pozdrawiam
Co to jest port ofiary, co nalezy tam wpisac?
To nie port ofiary a serwera SMTP :). Wkradł się błąd, już poprawiłem. Dziękuje za uwagę!
dasz rade mi pomóc z hasłem do poczty?
Nie, jest to nielegalne. My poruszamy tylko tematy bezpieczeństwa w celach edukacyjnych.
Mam problem. Wpisałem dobrze polecenie i napis „Error: Unknown service” O co chodzi?
U mnie ten problem występuje w wersji dla Windows (starej) którą gdzieś kiedyś udostępniłem, wersja z Kali Linux (najnowsza) na wirtualnej maszynie (virtualbox) działa. Widocznie stara wersja Hydry nie obsługuje protokołu poczty SMTP. Jutro pojawi się filmik, może coś pomoże.
da sie jakoś ominąć punkt 1 ?
bo mam z tym największy problem , nie mogę zainstalować tego systemu z USB
Po 1, ten Links jest typu LIVE CD więc nie trzeba go instalować aby używać, działa z płyty/pendrive LUB lepszą opcją jest zainstalować na Windowsie VirtualBox i na nim wirtualnie system postawić. Jest to wirtualny komputer jakby 🙂
zrob to za mnie, co?
Możemy się spodzewać w przyszłości poradnika na team DDos’a?
A miał byś z czego wykonać taki DDos skoro pytasz?
kiedy będzie film ? Pozdrawiam
Już się renderuje więc powinien być dzisiaj wieczorem 🙂
Da się tak złamać hasło do facebook’a?
Da się złamać formularze za pomocą słownika/brute-force jeśli po kilku próbach nie blokuje (hydra obsługuje http-get i http-post, wpis o routerze troche rozjaśni sprawę).
Cześć, czy mógłbyś się do mnie odezwać?Potrzebuję pomocy, by sprawdzić czy ktoś mnie nie oszukuje.
hej mozesz sie do mniodezwac
Facebook zmienia hasło, po iluś tam nieudanych próbach.
Wpis jest o mailu nie Facebooku.
Jaką wersje trzeba wybrać przy instalacji tego virtualbox bo tyam jest kilka różnych i nie wiem czy na wszystkich będzie się dało zrobić to co na filmiku u ciebie jest…. Nie wiem też czy jeśli ściągnąłem też kali linux 64 bity to też będzie mi działało tak jak potzreba, czy lepsza jest jakaś inna??? Z góry przepraszam zas te pytania ale jestem w tym słaby…. Proszę o wyrozumiałość…
Najlepiej sprawdzić chyba samemu, najlepiej najnowsze wersje.
no i tak jak się spodziewałem mój virtualbox nie chce odpalić linuxa 1.0.5 wyskakuje jakiś błąd jak wybieram obraz do wczytania… Poza tym na samym początku przy wybieraniu systemu wpisuje linux i nie mam do wyboru linuxa 2.6 tak jak na filmie tylko jakiś linux 2.6/3.x więc wybieram to, kolejne kroki się zgadzają aż do momentu kiedy muszę wgrać obraz, wtedy właśnie wyskakuje błąd… Zarówno kali linux jak i virtualbox pobierałem ze strony na które przekierowały mnie twoje linki. Proszę o instrukcje co powinienem zrobic???
Wiele poradników VirtualBox jest na youtube.
mógł byś zrobic poradnik, gdzie opisujesz wszystkie techniki hakowania. Bo teraz co widze to opsujesz lamanie hasel techniką brute-force.
Robimy to non-profit, myślisz że mamy dużo prywatnie czasu?
Nie, ale wystarczylo by napisac liste sposobów hakowania. A reszte bym sam sprawdzil w internecie.
P.S Fajnie ze robicie to non-profit, ale z tego bloga na pewno cos macie bo jest u was kilkanascie reklam 🙂