PDA

Zobrazit v plné verzi : Prolomení hesla do Wow



K4M1L
04.05.2012, 16:04
Zajímalo by mě pár názorů lidí co tomu rozumí! jestli je opravdu možné nějak prolomit heslo k acc, pokud znám název. Samozřejmě nechci návody! Jen teoretickou diskusi. Závěry hodlám používat jako argument v bany/unbany/připomínky kde jsou dnes a denně vidět topicy typu "hackli mi acc. smazali gear a nadávali GM".

S tím, že rovnou vezměte v úvahu, že většinou se jedná i o hacknutý email, takže 2 různá hesla lámaná přibližně ve stejnou dobu.

Způsoby které znám já:
Slovníkové útoky - nepřipadá v úvahu pokud je člověk alespoň trochu rozumný a nedá si jako heslo "tata" a to hlavně kvuli tomu, že nevíme kolik znaků heslo má, tudíš se těžko volí správné wordlisty. Navíc by takový útok musel být veden do donate systému a ne přes klienta. I když možná by šlo prostředí klienta nějak emulovat (nevím). K tomu časy autobanu no nevím.
Náhodné útoky: Podle výkonu hw a rychlosti linky už jsou trochu nadějnější, pokud by nebyl autoban. Ale asi každý admin by si rychle všiml, kdyby se na něj hrnulo 50 mbit pokusů o login. Při různé délce hesla od 4 do x znaků, pořád dost nemožné.
Útok na databázi serveru. - Blbost, heslo je v databázi zahashované a útočník by musel znát typ hashe, krom toho, že pokusy o vlámání se do databáze by asi zaznamenal i slepec a odstřihl je.
Keylogger: Asi jediný opravdu reálný nástroj, který ale nemůžete mít v PC pokud používáte kvalitní antiviru/antispyware atd.
Sledování lokální sítě: Možná taky reálná cesta, pokud někdo data ve vaší síti odposlouchává (a pokud tedy heslo neodchází zvlášť šifrované oproti komunikaci v síti, nevím jak to je nehledal jsem). Ale to je reálné pouze před NATem, čili u vás vy bytě/domě. Navíc je to dost náročné a jen tak ledajaký "soused" to nezvládne.

No a k lámání hesel do emailu. Podle mě stejně nereálné jako u wow, jen tam obvykle není autoban, ale jinak kvalitní heslo podle mě není možné prolomit jinak než "náhodou" a pravděpodobnost takové náhody se snižuje s každým znakem navíc. Výhodou je, že uživatelské jméno k emailu je povětšinou dost jasné.

Tak. Doufám, že se z toho vyvine pořádná diskuse, administrátorů, developerů a vůbec všech kteří tomu rozumí. Hlavně tu nechci žádné návody atp.! Okamžitě ohodnotím banem. Tabulky s různými časy lámání hesla, jako jsem tu někde viděl asi nemají smysl, protože záleží na Výpočetní síle a lince, takže nejsou stejné všude.

Píšu jen tak z "voleje" z kavárny, takže jsem opravdu žádné odborné články na téma nečetl a určitě v tom mám hromadu nepřesností.

Synthi
04.05.2012, 16:50
Hneď prvý predpoklad, že email a heslo do wow sú rôzne mi tak jasný nepríde, ale to nie je v tomto dôležité...

Slovníkové útoky a s tým aj tie náhodne sú skoro nemožné, presne preto čo si napísal, že to admin zistí, prípadne autoban... možno čo by stálo za pokus je skúšať rovnaké meno aj heslo, ale pri malej databáze mien, ktoré sa dajú zistiť to tiež moc reálne nevyzerá.

Sledovanie zasielaných dát cez net neviem ako v prípade wow funguje, ale napr existuje aplikácia pre Android, kde aj úplny laik zistí heslá užívateľov na Facebook, ktorí sa nechránene prihlasujú v spoločnej sieti...

Ak už niekomu ukradnú heslo, tak na 99.9% cez phishing- vyplnenie prihlasovacích údajov na falošnej stránke, alebo keylogger...
S oboma metodámi som pred nejakými dvoma rokmi som experimentoval a úspešne :D ani aktualizovaný eset nezaznamenal keylogger... neviem ako by to dopadlo v dnešnej dobe, každopádne téma na antivíry je hneď vedľa :D
Jednoducho sa deti nechajú nalákať cez Skype na super mega dmg hack, ktorý stiahnu, nainštalujú a už majú po prihlasovacích údajoch...

Ľudská hlúposť je nekonečná a preto aj social engineering sa stále rozmáha, točia sa v tom veľké peniaze v podobe ukradnutých kreditných údajov atď. Nemôžme sa preto prekvapiť keď si deti nechajú ukradnúť wow acc, ak vidíme čoho sú schopní dospelí s oveľa citlivejšími údajmi.

K4M1L
04.05.2012, 17:03
No ten FB je možnej jen v určitým nastavení sítě, ale FB je oproti wow dost rozdílný. Jinak u pořádně zabezpečené sítě tvoje heslo na FB nikdo nezjistí. Odfláknutá free wi-fi v jakési hospodě je věc druhá. Ale odposlech dat přes internet je podle mě prakticky nemožný, jedině v té lokální síti a do té má zase přístup málo kdo. Ještě mě napadá, že do lokální sitě by se dalo dostat přes ssh v routeru, ale to je zas další heslo do sbírky, i když se tam dají zkoušet hesla do zblbnutí a tedy útok hrubou silou je reálnější. Jen je to taková kombinace "pátý přes devátý" a vůbec nemám představu jak by realita vypadala :D

Jind
04.05.2012, 21:30
Praxe je nám známá.

Lupič: AHoj
Obět: caw

Lupič:Neprodal bys mi account ?
Obět:Ne neprodám

Lupič: dám ti za něj 5 tisíc
Obět:To je pěkná suma

Lupič:Přemýšlej o tom
Obět: ok

O několik minut později

Obět: Kdybych řekl ano jak by to proběhlo ?
Lupič:Pošlu ti na ACC 2x sms za 99kč jako záruku půjčíš mi account na vyzkoušení

Obět:Hned ted ?
Lupič:Jo napiš mi VS od acc a hned ti nabiju

Obět:1515563
Lupič: SMS poslána 3x

Obět:Kouknu
...
...
...
...
Obět:Je to v pořádku tak já ti to pujčím (jmeno xxx) (Heslo xxxx)
Lupič:Neboj nepodělám tě.

Obět:Jak dlouho tam budeš ?Lupič: Pár minut.

Lupič: Log do donate (SMAZAT EMAIL)
Obět skončila v ignore

END

To je minulost :D
Smazání emailu lze provéíst pouze pokud je k accountu přiřazený e-mail na který se při vyvolání akce pošle potvrzovací link.


Jinak získání hesla je i daleko lehčí lidi jsou holt důvěřiví.

K4M1L
04.05.2012, 21:54
tak to víme, jen se lidi vymlouvají na hack :D tak hledám všechny možné způsoby jak to nejde :D

Canyo
04.05.2012, 22:07
Lidi jsou spíš blbý než důvěřivý :D

Empower
06.05.2012, 19:50
Existuje x spôsobov akým sa dopracovať cez postavu priamo ingame nie len k heslu ale aj k acc (osobne poznám 2 spôsoby) , ale kamarát sa venuje hackovaniu už dlhšiu dobu a povedal , že je nespočetne veľa spôsobov , a niekedy o tom dotyčný ani nevie . Ale na väčšinu musí mať prístup k údajom do PC druhého (tj obete v tomto prípade) , a ešte lepšie byť sním v zdielanej IP a podobné kraviny . Nevyznám sa v tom a ani nechcem . Čo sa týka mojich spôsobov oba sú cez hack nejdem tu vysvetlovať ako fungujú ako sa volajú ani od kiaľ pochádzajú (prípadne bližšie vysvetlím niekde v súkromnej konverzácí aj s možnou alternatívou zabezpečenia určite existuje.
Jind si to možno pamätá kedysi ešte za T12 atď sa to na GF dosť rozmohlo šíril to jeden hráč menom Konak ktorý aktuálne šíril WPE filtre .

K4M1L
06.05.2012, 20:38
kledně vysvětli jak to funguje, to mě zajímá, nejmenuj jaké programy ani nědělej nějaký návod, ale jak to funguje by mě zajímalo...

Empower
06.05.2012, 20:44
On je na playchare a do každého jedného channelu v ktorom je lognutý (say, yellow nevynímajúc) sa spamuje jeho acc a heslo . A nemôže s tým nič spraviť nejde mu Logout nič , musí reštartnúť celý PC , ale kým na to príde dosť ludí jeho prihlasovacie údaje zistí .

K4M1L
06.05.2012, 20:48
aha tp je tp cp psal synthi.....super gold hack :D:D:D na to si musí poškozený hodit do PC nějaký program do kterého údaje zadá

Empower
06.05.2012, 20:52
je to možné nečítal som jeho post ďalej je tu taký cez ktorý to začne spamovať jemu do whispu tvoje údaje , hoci ty nevidíš , že niečo píšeš , ale spoznáš to tak , že sa ti freezene wowko ... taktiež , je to komplikovaný hack osobne ho neviem tiež použiť , je vypísaný aj na deadsofte , ale je minimum ludí , ktorý ho vedia použiť. Ale ak to niekto vie , velmi lahko okradne trebars aj celý server , ale na ten hack sa dá lahko prísť .

K4M1L
06.05.2012, 20:55
to je naprostá blbost :D musíš si dát do svého PC něco aby ti to spamovalo útočníkovi....útočník nemůže ovládat tvůj PC :D

Empower
06.05.2012, 20:56
áno musí to mať aj druhý v PC ale zároveň aj útočník :D

Na to aby si to v PC zapol ho lahko nahovorí , kedže ludia su naivný a za víziou "full eq" spravia hocičo :D

K4M1L
06.05.2012, 20:59
no tak to neni o hackování...ale jen o blbostech pro naivky... :D

Empower
06.05.2012, 21:03
však áno ale na to aby ten psw vletel do jeho whispu musí vedieť čo napísať aby mu to došlo :D

K4M1L
06.05.2012, 21:06
dalo by se to udělat i nějakym formulářem kterej by to poslal do mailu :D Ale to je na jinou diskusi

Empower
06.05.2012, 21:08
to áno :D , ale naivný človek za vidinou peňazí čo je hlúposť :D dá aj email čo len útočník chce . Takže najväčší hack je ľudský mozog .

Neroo
06.05.2012, 21:16
a tím jsme se dlouhou debatou dostali opět na začátek, tedy že za krádeže může ve většině demence okradených :usmev:

btw nejjednodušší je /join world a čekat, až to tam někdo zkopíruje pomocí ctrl + v, protože si nepamatuje svoje resetované heslo

Nespirah
06.05.2012, 21:34
tak prolamovaní hesel je řada ale jen málo z nich je učinejch

určitě nejlepší metoda je HW keylogger kterej se dá víceméně vyloučit pokud ti to teda nehackne bratr ale to už je lepší se dívat někomu přes rameno jak si píše heslo

druhá metoda je SW keylogger kterej dokáže sesmolit každej kdo se trošku vyzná v PC, tam je problém ovšem ten keylogger do PC dostat, stačí poslat nějakej paket kde je nutnost vědět IP což je hračka zjistit např. z mailu (postup nebudu psat :D) tahle metoda je asi nejlepší

metoda word listu-jak psal radek, funguje to jen pokud je oběť prezident nebo zaměstnanec FBI co si dává heslo 12345 jinak pokud nemáte word listy o velikosti GB je vám to asi na nic

čtvrtá metoda je brute force která s auto banem na projectu nepůjde určitě protože pokud jsou hesla jen malý písmenka tak v praxi to znamená 28 znaků=28 kombinací na 1 místo, pokud máme 2 místa je to už 28^2 kombinací, při osmimístným hesle to znamená 28^8 kombinací což mi kalkulačka vyhodila jako 377 801 998 336 kombinací, s autobanem nám asi dojde že to nebude tak lehký na prolomení

o něco lehčí je brute force na mail ale stejně pokud neděláme na PC s 500THz jadrem nebo nejsme napojení na SETI tak nám to potrvá roky

poslední metoda je hack serverovny což je asi nejlehčí metoda po keyloggeru díky veřejné IP která jde hacknout snadněji+IP z hostname zjistí i děcko, pak je ale problém že TC2 hesla koduje ale to se taky dá prolomit


ve zkratce hack přes brutus není de-facto možnej
přes keylogger nebo hack serverovny je to možný a nakonec nejlehčí metoda, hádám že přístup na serverovnu je přes teamviewer kterej má nejčastěj 4 místný heslo (málokdo ho přenastaví) což nám dá 9^4 kombinací=6561-to se dá prolomit za par minut


psal jsem to hodně laicky, je samozřejmě hodně metod ale tyhle jsou nejpoužívanější, pokud se jedná o GM acc tak má mít ACC lock což se divím že na planyxu nemáme ^^ protože s tímhle hack možnej de-facto není pokud si do toho nezkoušíme 255^4 IP (tuším že takhle je to číslo, nevím jak je to v šestnáctkové soustavě) a na offi to je nemožný pokud má člověk authenticator

K4M1L
06.05.2012, 21:44
hack serverovny? Přístup přes teamwiever? To ne :D na server se snad přistupuje přes zabezpečený ssh a nevím kdo by si dal na roota/uživatele s právy low heslo + neomezil přístup na danou IP...jediný opravdu funkční způsob přes serverovnu je asi ozbrojené komando a únos disků/kráděž db z běžícího serveru...pořád přemýšlím kdo používá na serveru teamwiever...podle mě na serveru není na co klikat, protože tam je jen konzole ;)

The_Odik
06.05.2012, 22:03
Já z vás už nemůžu :DD to ne :D prej teamviewer na serveru :D prej veřejná ip jde hacknout lehčejc :DDD to ne xD... a vůbec kam se hrabou nějaký kelogery, bruteforce útoky, slovníky a podobný hovadiny, vždycky se stačí na to heslo jen zeptat :D

Mimochodem, hesla jsou na serveru zahashovaný a ještě saltnutý - tohle prolomit je dřina :)

K4M1L
06.05.2012, 22:34
já to říkal :D konečně se nám zapojuje dev...tak nám pověz jestli existuje nějaká cesta, když se tu objevuje tolik lidí s "hacknutým acc a mailem" (budeme počítat, že nekecaj i když kecaj :D )

Raikin
06.05.2012, 22:40
Dneska další dva na AN si stěžovali, že se jim někdo údajně dostal na acc, ikdyž nikomu údaje nedávali :D ... Na 99% lžou sami sobě, ale tak teoreticky 1%, je nějaká reálná možnost opravdu se k těmto informacím dostat?

K4M1L
06.05.2012, 22:54
no to se právě snažíme zjistit...šance je vždycky, ale zatím jsme vylučovací metodou přišli na to, že ten způsob je tak komplikovanej, že se rozhodně na wow nevyplatí :D

Neroo
06.05.2012, 22:57
prave jsi urazil nejakyho nolifera :D jak se muzes takhle vyjadrovat? dyt je to cely jejich zivot :lol:

The_Odik
06.05.2012, 23:27
Ne, prakticky je nemožný někomu jen tak ukrást acc, jak už tu několikrát padlo, útoky bruteforce, slovník, apod. nejsou tak účinný. Pokud bych chtěl někomu ukrást acc tak se na to heslo prostě zeptám. Jako příklad bych mohl udělat nějakej fake "hack" co jakože přidává třeba itemy na acc a poslat to někomu. Ten "hack" by v nejjednodušší podobě obsahoval pole pro login, kde po zadání to pošle údaje ke mě... Složitější forma by mohla být jako keylogger a tak podobně.
Jak dostat něčí acc bez kontaktu s tou osobou? Mno, pokud má heslo typu "123456", "abcdef", "qwertz" nebo kombinace podobnejch ptákovin tak je to jednoduchý. Jedna možnost je, že odposlechnu někomu heslo přes síť (pouze na lance samozřejmě (nešifrovaná wifi je luxus na tohle :))), ale nevim jestli by bylo použitelný. Nevím přesně jak funguje autentizace, ale určitě se tam posílá salt jména a hesla, a jestli se tam neposílá eště v tom saltnutý třeba datum, nebo nějaký id a podobně netušim. Pokud ano, tak je mi toto odposlechnutý "heslo" k ničemu, taktéž pokud je celá komunikace šifrovaná (což tušim, že kataklystýr má).
Bruteforce nemá moc smysl, jak už tu rozebrali jiní. Slovník by mohl mít nějakou šanci s kombinacemi, ale zase nijak super to neni. A ten slavnej "hack" serveru :D, ten by taky ničemu nepomohl, jak sem řikal, v databázi je uložený heslo jako salt jména a hesla, takže bych musel dělat tabulku všech kombinací nebo kolizí pro každý heslo znova, protože každej acc má jinej salt.

Suma sumárum, nevidim žádný způsob jak dostat od někoho heslo bez toho aby mi ho řekl jakymkoliv způsobem.

K4M1L
06.05.2012, 23:41
nikde v komunikaci se nevyskytuje heslo v plaitextu? Mě napadlo zkusit to přes to donate...nevím jak to má chajak udělaný, ale myslím, že tam to bude taky šifrovaný...https tam myslim neni, tak to bude jinak, nikdy jsem to nezkoumal...doufám, že neupozorňuju na nějakou bezpečnostní díru :D

Yuphon
07.05.2012, 12:29
Za davnych cias som sa s kamosmi nudil tak sme zobrali do ruky kalendar a skusali napr. login: fero, heslo: fero a verte tomu alebo nie mali sme cca 5 acc :) takze imho to je cisto o hluposti ludi ze si davaju rovnake, pripadne lahke hesla nie len do hry ale aj na mail.. rozne softwareove vychytavky su toho tiez schopne ale to zabere viac casu

The_Odik
07.05.2012, 15:48
nikde v komunikaci se nevyskytuje heslo v plaitextu? Mě napadlo zkusit to přes to donate...nevím jak to má chajak udělaný, ale myslím, že tam to bude taky šifrovaný...https tam myslim neni, tak to bude jinak, nikdy jsem to nezkoumal...doufám, že neupozorňuju na nějakou bezpečnostní díru :D

Ne nikde se heslo v plaintextu neposílá, vždycky to je minimálně hashnutý.
Donate https má, ale lze tam vlézt i bez https protože důvody.


Za davnych cias som sa s kamosmi nudil tak sme zobrali do ruky kalendar a skusali napr. login: fero, heslo: fero a verte tomu alebo nie mali sme cca 5 acc :) takze imho to je cisto o hluposti ludi ze si davaju rovnake, pripadne lahke hesla nie len do hry ale aj na mail.. rozne softwareove vychytavky su toho tiez schopne ale to zabere viac casu

To je přesně co sem řikal, stačí se na to heslo zeptat, nebo zkusit klasický kombinace jako stejný heslo jako jméno acc a podobně.

blackened
17.05.2012, 20:45
[Physhing Method]
-stačí vytvoriť mirror stranku donate systemu, hacknut nas joomla web (ktorý mimochodom par krat uz hacknuty bol :D ) a presmerovať VIP odkaz na odkaz našej mirror stránky (najlepšie z podobným, na oko nerozlíšitelným názvom)
- v prípade konkrétneho acc, stačí poslať email užívatelovi acc , aby si zmenil heslo v ramci prevencie v donate systeme :]

[Keylogging Method]
Tu už treba mať troška zručnosť
Máme viac typov keyloggerov - tie najprimitivnejsie posielajú vsetok input k klavesnice -> antivirus ich velmi rýchlo odhali (podozrivo vela odosielana packetov)
tie rafinovanejsie -> program ktorý bude skrytý , zároven sa asi bude musiet dostat do samotneho wow adresara, kde nasledne zisti, kedy bezi wow instance. vtedy iba zapne key recording a zapise si input z klavesnice do nejakeho zaheslovaneho suboru, ktorý neskor po castiach (aby to nebolo napadne)posle. V prípade wow antivir velmi tazko zisti keylogger, kedze u wowka sa rata z vacsim mnozstvom odosielanych packetov.

Man in the middle (sledovanie siete)
Zložitý útok mimo lokálnej siete ako popisuje kamil ho zvládne málokto, ale je velmi ucinny, prakticky velmi tazko odhalitelny. Klucom je zachytit odosielane packety, rozsifrovat ich a následne odoslat tak, aby odosielatel a ani prijimatel nezistili, ze packety cital niekto treti. Je to možné, ale nwm či by sa s tým dakto sral kôli wow acc na freecku :D , toto skor pouziva CIA & podobný


dbc method
Tu máš pravdu, s týmto moc infa nemám, pocul som daco o SQL injectoroch, ale nebudem radsej pisat nic, lebo netusim ako to funguje. Heslá v DB sú zahashované, takze autor utoku aj tak tým moc nezíska.

Náhodný utok ejkejej bruteforce je blbost pre noobov :D, + musel by si utocit cez proxy, inak by si admin mimo autobanov vsimol aj enormne vela pokusov o login z tej istej IP :D. Odheslovanie zlozetejsie hesla touto metodou moze trvat roky.


[Backdoor Attack] bolo by to možné, ak by ste do OS , na ktorom server bezi pridali backdoors. Inak , vecina beznych systemov vám pokus o prevzatie kontroly nepripustí :D (aj tieamvieweru musite vkuse davat povolenia). Skôr tento typ útoku vidno vo filmoch nez v realite

The_Odik
18.05.2012, 00:22
[Physhing Method]
-stačí vytvoriť mirror stranku donate systemu, hacknut nas joomla web (ktorý mimochodom par krat uz hacknuty bol :D ) a presmerovať VIP odkaz na odkaz našej mirror stránky (najlepšie z podobným, na oko nerozlíšitelným názvom)

Neni nutný to dělat tak složitě, stačí stránka s iframem v které se zobrazí skutečná stránka a prvky login/heslo se překryjí vlastními prvky a po kliknutí se uloží údaje k tobě a stránka to přepošle na správnou stránku... a nikdo se vůbec nedozví, že sis něco uložil a nakonec bude i na správný stránce.



[Keylogging Method]
Tu už treba mať troška zručnosť
Máme viac typov keyloggerov - tie najprimitivnejsie posielajú vsetok input k klavesnice -> antivirus ich velmi rýchlo odhali (podozrivo vela odosielana packetov)
tie rafinovanejsie -> program ktorý bude skrytý , zároven sa asi bude musiet dostat do samotneho wow adresara, kde nasledne zisti, kedy bezi wow instance. vtedy iba zapne key recording a zapise si input z klavesnice do nejakeho zaheslovaneho suboru, ktorý neskor po castiach (aby to nebolo napadne)posle. V prípade wow antivir velmi tazko zisti keylogger, kedze u wowka sa rata z vacsim mnozstvom odosielanych packetov.

Takovýhle sajrajty používají irc, nebo už sem se dříve setkal s tím, že to posílal na twitter, fb a podobně. Obecně HTTP requesty nejsou vůbec nápadný a nikdo není schopný říct jestli je to něco špatnýho nebo jestli je to jeden z dalších rádoby vtipnejch statusů typu "právě sem si usral" na fb...



Man in the middle (sledovanie siete)
Zložitý útok mimo lokálnej siete ako popisuje kamil ho zvládne málokto, ale je velmi ucinny, prakticky velmi tazko odhalitelny. Klucom je zachytit odosielane packety, rozsifrovat ich a následne odoslat tak, aby odosielatel a ani prijimatel nezistili, ze packety cital niekto treti. Je to možné, ale nwm či by sa s tým dakto sral kôli wow acc na freecku :D , toto skor pouziva CIA & podobný

Není účinný vůbec, protože se hesla stejně posílaj hashovaný už z klienta, cataclystýr už má šifrovanou dokonce celou komunikaci.



dbc method
Tu máš pravdu, s týmto moc infa nemám, pocul som daco o SQL injectoroch, ale nebudem radsej pisat nic, lebo netusim ako to funguje. Heslá v DB sú zahashované, takze autor utoku aj tak tým moc nezíska.

Tohle si sebral kde? :D DBC a něco sql injection ... nic popojedem :D



[Backdoor Attack] bolo by to možné, ak by ste do OS , na ktorom server bezi pridali backdoors. Inak , vecina beznych systemov vám pokus o prevzatie kontroly nepripustí :D (aj tieamvieweru musite vkuse davat povolenia). Skôr tento typ útoku vidno vo filmoch nez v realite

Víš vůbec co to backdoor je? Poněkud si tu napsal lehčí ptákovinu :D Stejnak by to bylo naprosto k hovnu, když, jak už se tu několikrát řeklo, všechny hesla jsou hashovaný, takže na to ti nepomůže ani root na mašinu :)

---
http://imgs.xkcd.com/comics/duty_calls.png
A teď už můžu v klidu jít spát :D

Yuphon
18.05.2012, 00:27
Neni nutný to dělat tak složitě,....

http://www.rclol.com/img/thumbs-up-obama-not-bad.jpg

K4M1L
18.05.2012, 02:45
Pravda SQL injection je trochu něco jinýho ;) ta by ti k heslu nepomohla, ale kdyby (opakuji kdyby :D ) se ti to povedlo, mohl by jsi db pěkně vytížit ;) totéž root na serveru ;) rm -rf / :D

petr_playboy93
18.05.2012, 06:22
Jinde, pěkně napsané jako bys to zažil. Vlastní zkušenosti? Abych řekl popravdě tak se mě taky jednou jeden lolek snažil připravit o acc, pokud najdu na fb historii tak sem ji hodím docela se nasmějete jak tam nadává, atp..

Nejde o to že by tak lidé byli důvěřiví ale spíše o to že jim je o prachy z Jindova postu. Když se to tak vezme tak vždy si každý za ukradený acc může sám. Za sebe já bych acc prodal max. tomu člověku co ho znám. Cizímu bych to dal až by mi došli money jináč si může vy víte co.. "jít do ****".

Nejlepší proti ukradení acc je mít i lehky heslo + znaky, atp.. potom se špatně krade btw ze školy vím nejlíp že dosti lidí neví pomalu jak se píšou tyhle znaky (&,#,@..).


Praxe je nám známá.

Lupič: AHoj
Obět: caw

Lupič:Neprodal bys mi account ?
Obět:Ne neprodám

Lupič: dám ti za něj 5 tisíc
Obět:To je pěkná suma

Lupič:Přemýšlej o tom
Obět: ok

O několik minut později

Obět: Kdybych řekl ano jak by to proběhlo ?
Lupič:Pošlu ti na ACC 2x sms za 99kč jako záruku půjčíš mi account na vyzkoušení

Obět:Hned ted ?
Lupič:Jo napiš mi VS od acc a hned ti nabiju

Obět:1515563
Lupič: SMS poslána 3x

Obět:Kouknu
...
...
...
...
Obět:Je to v pořádku tak já ti to pujčím (jmeno xxx) (Heslo xxxx)
Lupič:Neboj nepodělám tě.

Obět:Jak dlouho tam budeš ?Lupič: Pár minut.

Lupič: Log do donate (SMAZAT EMAIL)
Obět skončila v ignore

END

To je minulost :D
Smazání emailu lze provéíst pouze pokud je k accountu přiřazený e-mail na který se při vyvolání akce pošle potvrzovací link.


Jinak získání hesla je i daleko lehčí lidi jsou holt důvěřiví.

blackened
18.05.2012, 15:17
hovorím, že z tou DB neviem :D backdoor je, že máš v systéme akési zadne vrátka pomocou čoho možeš obísť nejaké zabezpečenie :).
/ zobrane z wiki: Tzv. zadné vrátka (backdoor)- komunikačný klient, ktorý komunikuje so serverom autora programu a umožňuje okrem iného aj úplné ovládnutie hostiteľského počítača.
p.s. Ako určite vieš, aj cataclystir sa podarilo čiastočne odheslovať. Aj keď to chvílku trvalo.
p.s. 2 , niesom žiadny hack master :D , nikdy som žiadny z týchto programov nerobil, vlastne práve len začínam z klasickým programovaním v C++ a C#. (Objektové & konzolové zatial). V týchto veciach mám zatial trosku hmlisto ;).

The_Odik
18.05.2012, 16:03
Pravda SQL injection je trochu něco jinýho ;) ta by ti k heslu nepomohla, ale kdyby (opakuji kdyby :D ) se ti to povedlo, mohl by jsi db pěkně vytížit ;) totéž root na serveru ;) rm -rf / :D

To už nejde jen tak, musíš mu to vnutit přes --no-preserve-root nebo jednodušejc:

rm -rf /*


hovorím, že s tou DB neviem :D backdoor je, že máš v systéme akési zadne vrátka pomocou čoho možeš obísť nejaké zabezpečenie :).
/ zobrane z wiki: Tzv. zadné vrátka (backdoor)- komunikačný klient, ktorý komunikuje so serverom autora programu a umožňuje okrem iného aj úplné ovládnutie hostiteľského počítača.

Takže je to to samý jako bys měl přístup na server...

Stejnak by to bylo naprosto k hovnu, když, jak už se tu několikrát řeklo, všechny hesla jsou hashovaný, takže na to ti nepomůže ani root na mašinu :)
btw. nejjednodušší backdoor co asi znám je (pro server):

nc -l 1234 | bash | nc -l 1235



p.s. Ako určite vieš, aj cataclystir sa podarilo čiastočne odheslovať. Aj keď to chvílku trvalo.

To je možný, ale pořád je to hashlý... mělo by. S timhle si sice nejsem tak jistej, ale nepředpokládám, že by blizzard posílal hesla v plaintextu :D

Inflapwned
11.07.2013, 03:00
Nejlepší bylo mít cca před 2 lety heslo od Jinda, Apeho a celého Equilibrium teamu :D To byla jiná sranda :D