господа ( и конечно же дамы :-) ) сегодня мы будем учится такому методу взлома ящиков как фейк (fake).Для меня это самая рульная тема,по тому как она надёжная,быстрая и эфективная.А теперь заранее предупреждаю,я в этой статье опишу только сам процесс действия,но небуду пояснять в подробностях про все изменения страниц,чтобы сильно не нагружать новичков.
А теперь я вам вкратце обьясню что такое фейк.
Фейк - С английского "fake",что означает подделка.Весь процесс взлома фейком состоит в том,что мы прикидываясь якобы админами сервера,шлём жертве письмо с поддельной страницой авторизации сервера.Страница будет идеинтична оригиналу,но только введённые данные пользователем,будут отправленны нам,в нашем случае это его логин и пароль. А теперь приступим.Сегодня мы будем тестировать всё это на нашем любимом mail.ru!
Во первых нам понадобится ruki.dll и mozg.ini :-) Ладно,шутки всторону.
Ну а для самого взлома нам понадобится:
-Подставной ящик.
-Домен на бесплатном хостинге.
-Заранее подготовленая страница авторизации mail.ru.
-Скрипт на PHP который будет обрабатывать введённые пользователем данные.
Давайте разьберёмся что и как:
*Подставной ящик: Зарегистрируйте себе ящик на mail.ru как будто это ящик админов.То есть ящик с именем типа admins@mail.ru и т.д...Но поскольку ты не один такой,такие имена наверняка будут забиты,и вам придётся попарится над этим.Но постарайтесь чтоб он был хоть немного похож на мейл админов.
Желательно (Можно даже сказать обязательно,иначе вас спалят) при регистрации ящика в поле "Имя" написать "МойМир" (всё без кавычек) а поле "Фамилия" вписать "@Mail.Ru".Это всё для того чтобы когда мы будем присылать письмо жертве,то письмо должно будет выглядеть как будто от mail.ru админов.Хитрый пользователь цепляется к любым мелочам :-)
*Домен на бесплатном хостинге: Зарегистрируйте себе домен на бесплатном хостинге.Он нужен для размещения на нём нашу поддельную страницу,скрипт который это всё обрабатывает,и текстовый лог файл,куда собственно и будут записыватся пароли.
Главное чтобы хостинг был с поддержкой PHP.Для этого дела подойдёт бесплатный
*Домен на бесплатном хостинге: Зарегистрируйте себе домен на бесплатном хостинге.Он нужен для размещения на нём нашу поддельную страницу,скрипт который это всё обрабатывает,и текстовый лог файл,куда собственно и будут записыватся пароли.
Главное чтобы хостинг был с поддержкой PHP.Для этого дела подойдёт бесплатный
*Заранее подготовленную страницу авторизации mail.ru и скрипт на PHP который будет обрабатывать введённые пользователем данные,я уже всё заранее подготовил и написал скрипт,чтобы явас не загружать лишними трудностями.Найти это всё вы сможете на сайте нашей HackTeam(сылка будет чюдь позже)
Мы просто подменили страницу авторизации так чтобы введённые юзером данные были переданны на обработку нашему скрипту,который это всё запишет всё в текстовый файл
Далее всё просто.Берём любой FTP клиент,ичерез него подключаемся к нашему зарегистрированому сайту.Теперь берём все три файла которые находились в архиве с фейком который вы можети получить(у меня в ПМ или в Аськи 6475721 за некую сумму) (index.html,script.php,LOG.txt) и заливаем их на свой сайтег. :-)
(Ах да,чуть не забыл,LOG.txt это тот файл куда будут приходить пассы).Залили?ОК,тогда поехали дальше.
Теперь идём на наш подставной ящик,и составляем писмецо для жертвы.Сделайте текст письма такойже как и от администрации.Для этого,сами себе,пришлите открытку например,и тогда уже скопируйте этот текст с пришедшего письма,и вставте в своё.Но!Не поспешите!
И так,сначало копируйте текст,потом идём снова в свой подставной ящик,создаём новое письмо,переходим в разштренный формат письма,вставляем текст,и,в тексте там где жертве нужно будет кликнуть по ссылке чтобы перейти к просмотру открытки,удаляем этот фрагмент текста,потом жмём "Добавить ссылку на страницу Интернет" на панели инструментов,в верхнее поле вводим адрес своего сайта где расположен фейк (например http://fejk.nnnn/index.html ) а в нижнее поле слово под которым будет скрыватся ссылка,пишем такуюже фразу как и в оригинальном письме от маил.ру.
Этим мы добьёмся того что когда жертва кликнет по ссылке,она попадёт на наш фейк,а не на настоящию страницу маила.Но жертва будет думать что она на настоящей странице mail.ru.
Теперь ещё раз перепроверьте письмо чтоб текст был как и в оригинале,и ссылка заменена на нашу,и если всё гуд,то отправляем!
Когда жертве дойдёт письмо,и она клюнет,то сцена будет такова:
Наша жертва,не в чём не подозревая,думая что письмо и на самом деле от админов,открывает письмо,зная что это открытка по привычке кликает по ссылке,её просят ввести пароль,она вводит,при этом пароль отсылается нам,а жертву переадресовывает уже на оригинальную страницу маила,она думаячто неправильно ввела пасс,вводит его заного,ипоподает в свой ящик.
А мы подключаемся снова по FTP к нашему сайту с фейком,открываем файл LOG.txt и увидим там данные которые ввела жертва,забираем логин и пасс и наслаждаемся!!!
Ну вот,не так уж и сложно,правда?Так что,теперь ты крутой хакер :-)
Вот и подошла к концу моя статья.Очень хочется надеятся что статья кому то поможет решить вопросы по влому.
