Приветствую, хакеры, в данной статье расскажу об одном способе брута с помощью программы Patator
Первый этап
Для начала нам нужно склонить саму программу.
Код:
git clone https://github.com/l...lot/patator.git
cd patator
chmod +x ./patator.py
Второй этап
Давайте теперь попробуем запустить программу
./patator.py
В нашем "меню" мы можем как раз таки ознакомиться о всех возможных векторах атаки, которые предоставляет нам patator.
Третий этап
Теперь давайте займемся разбором нашей задачи , на нужно реализовать smtp_login.
Давайте попробуем ввести команду:
./patator.py smtp_login
Ага. Теперь мы можем наблюдать еще одно меню, которое позволяет нам настроить непосредственно саму атаку так, как мы хотим.
В принципе, я думаю, что переводить флаги - нет смысла, можно догадаться, что к чему.
Итак, теперь приступим к самому бруту.
Сразу готов сказать, что синтаксис не привычный.
Теперь добавляем дополнительные параметры к условию задачи:
email - anonqwer@bk.ru
Наконец-то!
Давайте скорее приступим к восстановлению доступа к почте
Код:
./patator.py smtp_login host=smtp.mail.ru port=465 ssl=1 user=anonqwer@bk.ru password=FILE0 0=/home/gopher/test.txt
И что мы видим?!
Заветное "Authentication succeeded" !
Ура, мы вспомнили пароль
А теперь по порядку:
host - smtp сервер, где зарегистрирована наша почта (в моем случае - это маил)
port - порт, к которому надо коннектить (Капитан очевидность, здравствуйте)
ssl - принимает на вход 0 или 1, в нашем случае мы обязаны использовать ssl
user - наш таргет
password - принимает словарь, но не путем до файла, а константой FILEn, где n - цифра, в которую мы запишем наш путь до словаря
Четвертый этап
Приводим наш вывод в оптимальный вид, а не как в этих ваших матрицах x)
Patator позволяет нам игнорировать вывод определенных ошибок с помощью дополнительного флага.
В нашем случае - у нас на некорректные пароли всегда вылетает ошибка "Authentication failed. Please verify your account by going to https://e.mail.ru/lo...=anonqwer@bk.ru"
Предлагаю убрать вывод паролей с такой ошибкой
Код:
./patator.py smtp_login host=smtp.mail.ru port=465 ssl=1 user=anonqwer@bk.ru password=FILE0 0=/home/gopher/test.txt -x ignore:fgrep='Authentication failed. Please verify your account by going to https://e.mail.ru/lo...anonqwer@bk.ru'
Ура! Теперь лишняя информация (хотя она не всегда лишняя) не мусолит нам глаза
Заключение
Вот таким не хитрым способом мы смогли получить доступ к нашей забытой почте.
Не для кого не секрет, что брут почт уже устарел и чтобы пробрутить @gmail.com или @yandex.ru придется подумать несколько раз, чтобы запустить брут. Лучший вектор для получения доступа к личным данным человека - социальная инженерия.
Вся информация предоставлена лишь для ознакомления и не призывает к действиям. Автор не несет ответственности за использование этой информации.