197 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как взломать аккаунт

Как взломать аккаунт?

Привет, это нетипичная статья об обновлении. Сегодня мы попробуем взломать аккаунт главного админа и расскажем о мерах, которые мы принимаем, чтобы обеспечить безопасность аккаунтов.

Первое, с чего начинается взлом аккаунта — это выбор жертвы, в нашем случае это будет главный админ xtrafrancyz. Что теперь?

1. Брутфорс паролей

Попробуем ввести банальный пароль — 123456

Увы, пароль оказался неправильным, глупо было ожидать, что админ поставит себе простой пароль. Выходит на этом наш взлом заканчивается? Конечно нет, попробуем ввести несколько разных паролей.

Мы столкнулись с ограничением — раз в 5 минут можно ввести 6 неправильных паролей. Получается, если написать программу, которая автоматически будет подбирать пароли, то в итоге мы сможем взломать аккаунт? Да, но давайте перед этим посчитаем примерное время, которое у нас уйдет на это.

Здесь есть два сценария событий, мы можем начать подбор по базе популярных паролей или пробовать вводить абсолютно все комбинации.

Предположим, что xtrafrancyz решил сделать не случайно сгенерированный пароль, а допустим dima2020, в таком случае у нас есть большая вероятность, что пароль будет присутствовать в базе и мы сможем быстро отыскать его.

В нашей базе паролей находится около 10.000.000 строк, чтобы проверить каждый пароль у нас уйдет до 16 лет. Не очень впечатляющее число, но важно понимать, что речь идет о проверке каждой строки, а если у пользователя стоит банальный пароль, то он может быть взломан в течении нескольких минут.

Статья в тему:  Как создать аккаунт в саундклауд

Но мы понимаем, что админ неглупый и у него установлен случайно сгенерированный пароль, тогда у нас остается только вариант с подбором всех комбинаций пароля.

Представим, что мы хотим взломать пароль длинной 6 символов, который состоит только из цифр. Для взлома такого пароля будет необходимо перебрать 1.000.000 комбинаций, что займет примерно 2 года. Добавим к нашему паролю несколько символов из латинского алфавита и у нас уже выходит 56.800.235.584 комбинаций — это в 56.000 раз больше. Для большей наглядности приведем еще несколько примеров.

К сожалению, у нас не найдется пару десятков лет, чтобы подбирать пароль, поэтому этот способ взлома мы исключаем.

Вывод #1: необходимо использовать случайно сгенерированный пароль длинной от 10 символов с использованием букв, цифр и спецсимволов.

2. Социальная инженерия

Не будем отчаиваться, раз вариант с подбором пароля не вышел, то воспользуемся социальной инженерией. Что это такое? Это манипулирование человеком с целью получения необходимой информации.

Попробуем позвать xtrafrancyz на наш сервер-ловушку, там мы поставим систему авторизации и сделаем вывод команд в лог сервера, чтобы увидеть какой пароль вводят при регистрации.

Рыбка клюнула на наживку, нам осталось дождаться когда админ зайдет на сервер и зарегистрируется.

Ура, вот он наш долгожданный пароль. Как правило, большинство пользователей пренебрегает своей безопасностью и использует один пароль на всех серверах, именно эту человеческую уязвимость мы и использовали, теперь нам осталось ввести только ник и пароль жертвы.

Статья в тему:  Как удалить аккаунт mybook

Жаль, но xtrafrancyz оказался из числа единиц, которые используют разные пароли на разных серверах, что и помогло ему избежать взлома своего аккаунта.

Вывод #2: используйте уникальный пароль для каждого сервера, потому что вас могут обманом завлечь на сервер-ловушку или банально администрация другого сервера может пренебрегать безопасностью данных, что ставит под угрозу ваши аккаунты на всех проектах.

3. Вирусы

Есть еще один очень хороший способ взлома аккаунта о котором хочется упомянуть, но, к сожалению, на практике применить мы его не сможем. Как правило, читы, кликеры и другие желаемые программы обожают воровать пароли. Авторы подобного софта очень любят зарабатывать на наивных игроках, их наглость доходит даже до того, что они продают саму программу, а затем еще и воруют аккаунт, который может представлять ценность для последующей продажи.

Не нужно верить нам на слово, лучше проверим это вместе. В данный момент очень сильно набирают популярность боты для игры в MurderMystery, давайте взглянем на исходный код подобной программы.

Особенно смышленые смогут понять, что этот скрипт загружает с Google диска файл bot.exe и запускает его. Для чего это необходимо? Подобным способ им удается обойти антивирусы. Попробуем загрузить этот файл вручную, но не будем запускать его.

И уже в момент загрузки нас встречает окно антивируса Windows 10, в нем мы можем прочитать, что данный файл является троянской программой. Подобная категория может выводиться только для программ, которые воруют пароли.

Статья в тему:  Как взломать аккаунт в стандофф 2

Самое страшное в этой ситуации, что при всех стараниях администрации, они никак не смогут полноценно защитить аккаунт от взлома. К примеру, в данный момент для сессии пароль хранится локально на компьютере и зашифрован таким образом, что только сервер сможет его расшифровать, а сам файл привязан к компьютеру и при его копировании на другое устройство все равно зайти не получится.

Но благодаря вирусу все эти предосторожности для злоумышленника нипочем, он всегда сможет отследить ввод пароля с клавиатуры и, соответственно, украсть ваш пароль, что еще хуже, даже двухэтапная аутентификация не сможет спасти вас от взлома.

Вывод #3: никогда не устанавливайте подозрительные программы. Как правило софт, который ориентирован на конкретный проект — особенно заинтересован в краже паролей и последующей продаже аккаунта.

4. Взлом базы паролей

Предыдущие способы взлома не сработали, а что если нам удалось раздобыть базу паролей VimeWorld, получается в ней можно найти пароль от аккаунта? К счастью нет, хорошая администрация всегда беспокоится о безопасности игроков и на случай взлома все пароли в базе данных шифруются. Как тогда взломать пароли? Для того, чтобы ответить на этот вопрос, нужно сначала понять как работает система авторизации на сервере.

Представим, что мы используем пароль qwerty, перед тем как попасть на сервер мы вводим этот пароль, он передается серверу и система авторизации сверяет его с сохраненным значением в базе, но каким образом это происходит, если все пароли зашифрованы?

Статья в тему:  Globaltestmarket как удалить аккаунт

Все очень просто, получив пароль, сервер с помощью алгоритма MD5 шифрует его и получает уникальный текст, который будет соответствовать только этому паролю, затем он сверяется с сохраненным текстом в базе данных и если они совпадают, то следовательно пароль введен верно.

Зная это все, теперь мы можем попробовать взломать пароль 123456 и посмотреть сколько на это у нас уйдет времени.

Всего за 1 секунду нам удалось взломать пароль 123456, выходит нам остается заглянуть в слитую базу данных, найти зашифрованный пароль админа, вставить полученное значение в нашу программу и дождаться результата.

Но вот беда, мы видим, что пароль зашифрован не с помощью алгоритма MD5, а более надежного и подходящего bcrypt. Все дело в том, что до 22 июля 2018 года на VimeWorld использовался MD5, но администрация была обеспокоена его уязвимостью и заменила алгоритм на bcrypt. В таком случае, давайте попробуем взломать пароль 123456, который зашифрован с помощью bcrypt.

За 15 секунд мы смогли сверить всего 200 паролей, с таким темпом мы будем взламывать пароль 123456 в течении 2.5 часов, а если пароль сделать длинной в 12 символов и использовать буквы, то длительность расшифровки пароля будет занимать до 25327917562749 лет.

Выходит даже при слитой базе данных мы не сможем взломать аккаунт с хорошим паролем.

Вывод #4: если делать пароль длинной хотя-бы 10 символов, использовать случайные буквы и цифры, то даже при слитой базе данных ваш аккаунт будет невозможно взломать. Если вы НЕ меняли пароль после 2018 года, то обязательно сделайте это сейчас, чтобы ваш пароль стал зашифрован с помощью надежного bcrypt алгоритма.

5. Двухэтапная аутентификация

Представим, что несмотря на все трудности нам удалось раздобыть пароль главного админа, введем его.

Статья в тему:  Mirtesen как удалить аккаунт

И вот мы встречаем последний рубеж защиты, который преодолеть нам уже не удастся, потому что необходимый доступ к смартфону владельца отсутствует, а его получение не представляется возможным. Конечно мы можем извлечь код двухэтапной аутентификации с слитой базы данных, но администратор будет одним из первых людей на сервере, кто обновит его.

А в качестве дополнительной меры безопасности сегодня был реализован переход на новое хранилище для кодов двухэтапной аутентификации, который был вынужденной мерой после того как стало известно об их утечке в 2018 году. Если вы не меняли двухэтапную аутентификацию с того времени, то самое время ее обновить.

Вывод #5: если вам дорог аккаунт, обязательно подключите двухэтапную аутентификацию — это добавит еще один рубеж защиты, который злоумышленнику будет преодолеть крайне сложно.

Если ты дочитал до этого момента, значит сегодня ты познал истинную мудрость хакеров «Чтобы эффективно защититься, необходимо уметь взламывать».

Благодарим за прочтение и надеемся, что твой аккаунт теперь будет в безопасности! А мы дальше пойдём делать для тебя обновления 🙂

Входить – вот тут: https://cp.vimeworld.ru/login. Просто укажите логин и пароль. Внизу можно выбрать сервер, но это не обязательно – переключиться между серверами можно и в самом ЛК.

В первую очередь выберите сервер – от этого зависит доступный функционал ЛК.

Как только вы входите в ЛК – попадаете на главную страницу. Здесь можно изменить скин (наведите мышь на модельку персонажа – появится кнопка), изменить статус (за донат), купить вимеры (собственно, донат) и обменять их на коины (внутриигровая валюта). При обмене вимеров на коины вы также можете получить дополнительные бонусы – подробнее об этом вы узнаете, если нажмете на «Обменять» в строке коинов. Кстати, 1 вимер = 1 российский рубль.

Статья в тему:  Как активировать аккаунт вичат

По остальным разделам личного кабинета:

  • Скин. Здесь можно загрузить свой скин .png-файлом или открыть слот для плаща (за 50 вимеров).
  • Донат. Можно пополнить счет, передать донатную валюту другому игроку, посмотреть на шкалу прогресса (смотрите скрин выше) или посмотреть историю транзакций.
  • Игры. Вкладка доступна только для сервера «MiniGames». Здесь собраны все мини-игры, с описанием каждой. Можно посмотреть статистику игроков.

  • Разное. Тут собрано все, что не поместилось в другие разделы: управление гильдией (доступно только для лидера гильдии), безопасность (можно поменять пароль или включить двухфакторную аутентификацию), активация промо-кода (промо-код можно найти на чьем-нибудь стриме или в группе ВК VimeWorld’а.
  • Давай поднимем сервер с Modlishka внутри локальной машины. Я сделаю это на примере Kali Linux, но принципиальной разницы для других дистрибутивов не будет — разве что слегка изменится путь к исходникам Go.

    Вначале ставим Go — на этом языке написан реверс-прокси, и без Go он не скомпилируется.

    Следом указываем путь к директории исходников:

    Проверить все можно командой

    В выводе должен быть указан GOPATH.

    Вывод команды

    Затем клонируем ветку с инструментом.

    Теперь необходимо перенести содержимое ключа и сертификата в файл plugin/autocert.go и заменить значение двух переменных:

    • const CA_CERT — значение сертификата (файл pem);
    • const CA_CERT_KEY — значение ключа (файл key).

    Файл autocert.go после замены сертификата

    Статья в тему:  Как обойти mi аккаунт на xiaomi redmi 5a

    Теперь собираем все это дело:

    Занимает компиляция от трех до десяти минут в зависимости от количества вычислительных ресурсов.

    Сам запускаемый файл находится в директории dist/ под названием proxy . Для проверки можно запустить с ключом -h — вывод справки.

    Вывод справки программы Modlishka

    Продолжение доступно только участникам

    Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

    Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

    Как взломать аккаунт?

    1. Брутфорс паролей

    Попробуем ввести банальные пароль — 123456 / qwerty / 123456789 / 123123

    Увы, пароль оказался неправильным, глупо было ожидать, что Immortal поставит себе простой пароль. Выходит на этом наш взлом заканчивается? Конечно нет, попробуем другой способ.

    2. Социальная инженерия

    Не будем отчаиваться, раз вариант с подбором пароля не вышел, то воспользуемся социальной инженерией. Что это такое? Это манипулирование человеком с целью получения необходимой информации.

    Попробуем позвать xtrafrancyz на наш сервер-ловушку, там мы поставим систему авторизации и сделаем вывод команд в лог сервера, чтобы увидеть какой пароль вводят при регистрации.

    Рыбка клюнула на наживку, нам осталось дождаться когда админ зайдет на сервер и зарегистрируется.

    Ура, вот он наш долгожданный пароль. Как правило, большинство пользователей пренебрегает своей безопасностью и использует один пароль на всех серверах, именно эту человеческую уязвимость мы и использовали, теперь нам осталось ввести только ник и пароль жертвы.

    Статья в тему:  Как восстановить аккаунт марафон

    Жаль, но simssss оказался из числа единиц, которые используют разные пароли на разных серверах, но еще не все потерянно и возможно simssss просто испугался вводить настоящий пароль на только что созданном сервере.

    3. Базы

    Как всем известно на VimeWorld уже четвертый год подряд взламывают базы и на данный момент вы можете скачать их по ссылкам ниже.

    Для того что-бы найти аккаунт нужно нажать комбинацию клавиш «ctrl + F» и вставить ник и спустя секунд 10 вам выдадут ник / пароль / почту. Пароль расшифровать вы можете на сайте FTH, а купить тариф по скидки вы можете в личных сообщениях VimeCrash

    4. Сайты

    Заходим на один из сайтов с базами, для примера возьмем, бесплатный сайт FoxKeys. Вводим ник и получаем все пароли к данному нику, их обычно от 5 до 40, но перебирать каждый пароль безумно муторно и обычно бесполезно, так-как под одним ником могут играть различные игроки на разных серверах и к тому-же 90% паролей зашифрованы и для расшифровки нужны старение ресурсы. По этому советуем купить у нас подписку на сайт FTH. Почему данный платный сервис лучше? В нем встроенно два вида декодеров для обычных хешей и для bcrypt. После пробива ника сайт выдает: ник / пароль / почту / ip / сервер, а нам как раз нужно узнать логин жертвы для такого что-бы не вводить каждый пароль от разных серверов.

    Статья в тему:  Как привязать аккаунт ребенка в госуслугах

    Чем же нам поможет информация, о почте? Из способа выше про базы, скачав их рядом с ником будет писаться почта от аккаунта и имея ее на сайте мы можем увидеть какие пароли использовались с этим ником и почтой.

    Но увы, снова не удача и теперь у нас остается два варианта, взломать почту от аккаунта или-же отправить вирус жертви.

    5. Вирус

    Есть еще один очень хороший способ взлома аккаунта о котором хочется упомянуть, но, к сожалению, на практике применить мы его не сможем. Как правило, читы, кликеры и другие желаемые программы очень легко отправить жертви. Еще лучше, вы можете продать им вирусную программу и тогда какие-бы не появились подозрения по поводу вирусов при скачивание программы, почти каждый будет жалеть свои деньги и все таки откроет программу и тогда вы сможете получить их пароли из браузеров

    Для создания вирусного файла вы можете использовать бесплатную программу NinjaRat или платную и более удобную DarkCrystal RAT, но если вы хотите что-бы жертва после открытия сразу не поняла что это был вирус вы можете договорится с каким либо программистом что-бы он добавил в нужную программу стилер и после открытия открывался допустим кликер и в этот-же момент вы получали все данные.

    О чудо, это сработало, но не у каждого есть 500 рублей на покупку ключа и хорошие знание английского. Как по мне это не лучший вариант и по этому у нас есть еще парочку способов взлома жертвы.

    Статья в тему:  Mirtesen как удалить аккаунт

    6. Расширения

    При малейшим знание программирования вы можете написать расширение для браузера для получение: куки сайта, паролей и вимеров с аккаунта жертвы.

    Хороший пример расширения для браузера — HackVimer2021

    7. Почтальон

    Множество людей ошибаюсь в воде своих почт при регистрации аккаунтов или-же специально в водят почту на рандом так-как уверены что они не забудут пароль. Так-же множество магазин включая наш продают аккаунты без почт и в базе вы можете проверить почту и если все получиться у вас будет аккаунт с почтой за 170 руб.

    8. Фишинг

    Ну и как можно обойти стороной обычный фишинг. Фишинг это создание страницы, точь-в-точь похожей на личный кабинет вайма с целью перехвата данных авторизации.

    Перед тем как ввести свой логин и пароль, убедитесь в том, что страница официальная, без всяких посторонних символов.

    Исходники фишинга вайма можно легко найти в интернете. Устанавливаются очень просто, на любой бесплатный веб хостинг, не требуют базы данных, все сохраняется в файл, который вы можете потом посмотреть, загрузив с сервера.

    9. Дизайнер

    Способ заключается в создании фейковых вредоносных тем для лаунчера вайма.

    Хоть француз и говорит, что способ пофикшен, но прошаренные люди знают, как его обойти.

    А от себя хотим сказать, что способ существует, не стоит качать все темы подряд, это может закончиться печально.

    Статья в тему:  Как привязать аккаунт ребенка в госуслугах

    Ну а кто шарит за кодинг, то думаю догадается как можно провернуть обход.

    10. Мамин хакер

    Самый тупой и простой способ взлома через чат, когда тебе в лс пишут что-то по типу:

    Ну и человек отправляет свой пароль в личных сообщениях, думая что ему сейчас начислят коинов. Могут быть разные вариации этого способа.

    Команды: /w или /r

    Ура, у нас получилось узнать пароль от аккаунта жертвы. Но, увы на аккаунта google authenticator и нам придется опять проходить пять кругов ада что-бы ее снять.

    Как взломать Google Authenticator?

    1. Мамкин хакер V2

    Способ довольно банален, но очень сильно недооценен, вы можете просто подбирать коды перебором. Это будет очень долго, но за 20 непрерывного подбора и с шансом 90% у вас получить зайти в лаунчер / личный кабинет VimeWorld.

    Большой минус даного способа это ограничение, без него это могло-бы занят максимум часов 5, а может и меньше.

    2. Социальная инженерия

    Если вы смогли узнать пароль жертвы и он об этом не знает, то вы можете связаться с владельцем по поводу покупки аккаунта и попросить доказать что аккаунт его. Например мой план действий (вы можете использовать свой), я прошу зайти в игру и скинуть скриншот / видео, после зайти в личный кабинет и попросить скриншот и после спросить стоит-ли двуха. Если ответ будет «Да», то попросите снять двуху и скинуть скриншот после снятие и сказать что сразу будете готовы оплатить и во время снятие вы можете зайти на аккаунт и сменить данные.

    Статья в тему:  Как активировать аккаунт вичат

    3. Брутфорс

    Для снятие вам нужны куки Google Authenticatora, для получение нужно зайти в код элемента, после перейти в Application, Cookies, https:/vimeworld.ru и копируем код PHPSESSID в столбике Value.

    Для снятие нужна специальная программа для брута, а имеют ее всего пару человек.

    4. Брутфорс от Делфика

    Для брута двухи нужна программа от делфика. GitHub – https://github.com/DelfikPro/vimeworld-2fa

    Для снятие нужно приобрести хостнг и хороший кодер на Java для установки программы, примерная цена 300 рублей. 1 хостинг = 1 аккаунт

    5. База

    В 2018 году вместе со сливом базы данных с аккаунтами, слили базу с кодами восстановления двухфакторной аутентификации. Для того что-бы найти нужный аккаунт в базе, вам нужно в базе с аккаунтами скопировать id и после через комбинации клавиш “ctrl + f” найти нужный код: https://yadi.sk/d/Cc0MGoGUXG7mTg

    Дополнительные способы по взлому

    Взлом почты mail.ru | Другие не факт

    Взлом будет происходить через поддержку. Что обычно требуют для восстановления? Самый первый пароль, пароли которые использовались, имя фамилия, какие были рассылки, когда зарегистрирована почта.

    1. Открываем базу VimeWorld, нажимаем «ctrl + f» вводить почту и нажимаем enter и после вам выдастся пароль от аккаунта VimeWorld? 99% он был такой-же как и на почти при регистрации. Второй вариант это использовать LeakCheack (Данный сервис собирает слитые пароли) выбиваем туда почту и получаем все пароли которые когда либо использовал владелец.
    2. Забивает почту в телеграм бота «Глаз Бога» и получаем имя и фамилию владельца. Так-же через бота вы можете найти вконтакте или-же другие соц. сети владельца и указать имя оттуда.
    3. Если почта указана по типу «daedqwedpw@mail.ru» или-же «ник@mail.ru», то говорите что получали рассылки от VimeWorld.ru и больше не помните, а если у человека есть форум, то можете указать что получали рассылку от форума VimeWorld. Опять-же через телеграм бота «Глаз Бога» вы можете узнать где использовалось данная почта, допустим бот выдаст: Авито / вконтакте, то вы указываете все данные сервисы.
    4. Если аккаунт был заброшен, то на VimeTop будет писать сколько человек дней не активен + прибавляете наигранные часы на сервере (учите, что скорее всего в день человек играл по часа 2) и получаете примерную дату регистрацию аккаунта, а значит почта была то-же зарегистрирована примерно в это-же время.
    5. Если вы взламываете почту активного игрока, то почта с 99% шансом передавалось. Если поддержка спросит была-ли передача почты, то отвечаете да, а вот в если попросят примерную дату передачи, то тут только божья сила поможет угадать
    Статья в тему:  Как удалить аккаунт mybook

    Взлом аккаунта VimeWorld

    Взлом будет происходить через поддержку. Что обычно требуют для восстановления? Никнейм, Email, Какого числа было самое большое пополнение счёта и на сколько, Каким образом вы пополняли счёт, ip, место жительства, твинк аккаунты.

    Что-бы узнать данные вам нужен хороший опыт в общение или-же тупой школьник с дорогим аккаунтом. Ну или-же хорошей удачей. Для того что-бы втереться в доверие к продавцу вам нужно пообщаться с ним хотя-бы часа 2 или-же поиграть по дс и после предложить продать ему свой аккаунт за крупную сумму (если у вас нет денег, используйте телеграм бота из моего канала t.me/VimePrivat.

    1. Никнейм думаю вы сами знаете если решили взломать аккаунт, а вот почту можно узнать двумя путями. Через базу VimeWorld или-же спросить у владельца при покупки.
    2. Пополнение вимеров вы можете посмотреть в личном кабинете VimeWorld и там-же посмотреть через какую платежную систему они отправлялись. Чеки вы можете подделать через фотошоп / телеграм бота с нашего телеграм канала / попросить у владельца.
    3. Ip вы можете узнать через базу VimeWorld, а после заменить через код элемента на сайте для проверки Ip и скинуть скриншот администрации. Место жительство вы так-же узнаете через ip. Если аккаунта нет в базе, то в самом конце допроса владельца вы можете кинуть ему ip логер.
    4. Твинк аккаунты вы можете посмотреть через базу, для этого нужно нажать «ctrl + f» и ввести почту / ip и вам высветится количество аккаунтов.
    голоса
    Рейтинг статьи
    Статья в тему:  Как восстановить аккаунт марафон
    Ссылка на основную публикацию
    Статьи c упоминанием слов: