Foro de elhacker.net

Hola, vamos a ver como crackear las contraseñas de gmail o hotmail por fuerza bruta utilizando hydra gtk.

Lo 1º que haremos será iniciar el hydra gtk y para este caso vamos a crackear la contraseña de un correo de gmail.

A continucación marcamos las casillas tal como sale en la imagen de abajo y pondremos el servidor de gmail, en este caso es smtp.gmail.com y el puerto 465: ver imagen.

(http://i48.tinypic.com/15ow9jr.png)

Ahora vamos a definir el correo que queremos crackear por lo que pulsaremos en la pestaña password y rellenaremos los datos como en la imagen pero sustituyendo el email por el nuestro y marcando la ruta donde tenemos nuestro diccionario y marcando la casilla que veis en el recuadro rojo de la image.

(http://i48.tinypic.com/2r6jsjm.png)

Ahora pulsaremos en la pestaña start y posteriormente en la pestaña start de la parte de abajo: Ver imagen.

(http://i50.tinypic.com/35bw6dy.png)

Como podemos observar ya el hydra gtk ha empezado a trabajar y esta crackeando la pass y como podemos ver ya nos la ha sacado, por cierto para aquellos que digan que te pide una cacha a los 10 intentos, podeis ver que la pass la ha sacado al intento nº 33 y no se ha bloqueado la operación.: ver imagen.

(http://i45.tinypic.com/2s9xerq.png)

Ahora lo vamos hacer utilizando hydra desde la consola, para ello abrimos un terminal y pondremos lo siguiente: hydra -s 465 -S -v -V -l btshellinux@gmail.com -P /root/Desktop/dic.txt -e s -f -t 16 smtp.live.com smtp  recordar cambiar el email por el vuestro. ver imagen.

(http://i50.tinypic.com/oghttt.png)

Como veis ya nos tiró la pass y gmail no nos ha bloqueado los intentos. ver imagen.

(http://i45.tinypic.com/5ysvb7.png)

Eso es todo.

No habias subido algo asi aca ya? y no te habian dicho que eso no funcionaria? porque tanto gmail como hotmail te bloquean la cuenta al intentar muchas veces.

Pues no ves la imagen que no bloquea? o no nos queremos enterar?

Relaja muchacho, que no hace falta ponerse nervioso. En el otro tema sacaste una pass de hotmail con fuerza bruta al intento 14, y en este al intento 33. Y lo que te dijeron es que al intento 100 o menos seguro que te bloquearían.

Por cierto, es más sospechoso que un gitano haciendo footing que el intento 32 sea 'AA4' y el 34 'AA5' pero el 33 (para más coincidencia el correcto) sea 'hackxcrack'. Sospechoso sospechoso  :silbar:  :xD

Esta tontería tiene que parar ya BTshell, demostrar algo utilizando un diccionario en el que has metido tu la password correcta entre las primeras 20 lineas ¿te parece una buena demostración?

Por favor, para ya esta tontería.

para empezar no son la primeras 20, pero si te parece una tonteria solo tienes que reportar el post. saludos.

Prefiero que otros puedan leer esto y aprendan de tu error.

Estoy de acuerdo con T0rete.

Si tienes algo que aportar, perfecto. Si no tienes nada que aportar también perfecto, puedes simplemente pedir ayuda o aprender. Pero falsear resultados es algo que ni te aporta beneficios a ti ni le aporta beneficios al resto, así que no tiene sentido.

Tómatelo con calma y centra tu trabajo en objetivos productivos.  ;)

Hola,

Disculpad que me entrometa, pero modificar el diccionario para accelerar el resultado no me parece falsear el resultado, al contrario, me parece una demostración de que sí es posible obtener un password mediante un diccionario.

Que luego una persona lo intentará y no lo conseguirá porque lo más probable es que el password no este en el rango 0-100 (pero la demostración está ahí).

Estoy de acuerdo en que este ataque es una locura (por el ruído / logs que genera, etc.) hacia gmail u otras empresas y de que bloquearan tu IP o cualquier otro método a los pocos intentos, pero no creo que sea necesario atacar así a una persona.

Esto es mi opinión, no pretendo ofender a nadie.

Salu2.

Hola RevangelyonX. El tema aquí no es que BTShell haya hecho un diccionario de 100 palabras, lo haya lanzado contra la cuenta y en una de las contraseñas haya habido suerte. El tema es que ha hecho un diccionario de 'X' elementos y entre los primeros puestos ha incluido a sabiendas la contraseña correcta. Es decir, su método solo funciona si sabes de antemano la contraseña de la cuenta.

Es decir:

EDIT: No creo que nadie haya atacado a BTShell, solo se le ha dicho que no siga por ese camino.

Un saludo.

Hola corax,

Gracias por la respuesta.

Entonces si la contraseña de un usuario es 1234 (que hay usuarios con contraseñas así) y en la demostración de BTShell lo encuentra al intento 4 que le hubieráis dicho? Que se dejase de tonterías también?

Es que no acabo de entender el problema que le véis, se trata de una demostración, un ejemplo, tampoco es necesario esperar al intento 99999 para colgar un pequeño tutorial en un foro. Yo imagino que BTShell lo ha hecho por ese motivo básicamente. Es obvio que el diccionario ha sido alterado pero la opción está ahí y existe, es posible mediante un diccionario obtener el password de una cuenta de correo.

Luego como ya he dicho, y vosotros también habéis comentado, el servidor te tirará fuera a los X intentos y tu ataque no va a resultar, en eso estoy de acuerdo con vosotros.

Enfin, que no le daría más importancia al tema del password en medio  :).

Un saludo.

Hola RevangelyonX. No le estamos recriminando el método que está usando. Es más, seguro que es posible hacerse con un buen puñado de cuentas haciendo un diccionario con las 10 o las 20 contraseñas más frecuentes y probando a ver qué cuentas caen al ataque.

Lo que es recriminable es que falsee a propósito el método y el resultado del tutorial. Es decir, ha presentado como válido un método que solo funciona si conoces la contraseña y la colocas en las primeras líneas del diccionario. Lo que se me escapa al entendimiento es por qué ha hecho algo así.

Un saludo.

corax
  Adios.



[MOD] Texto editado para eliminar los insultos proferidos.

Ok, adiós. Que tengas un buen día  :)