Viendo blogs de mis amigos, no recordaba qué días atrás había visto algo muy llamativo con el nombre de "El bug del correo alternativo", y hoy se me dio por probarlo y con resultados muy buenos. Vamos a ver de que se trata:
Cuando registramos una nueva cuenta de correo en Hotmail, se requiere de un campo "Correo alternativo", para posibles restauraciones de contraseña, este campo permite ingresar cualquier correo, exista o no exista dicha cuenta.
Ahora vamos como explotar aquel mencionado bug, vamos a seleccionar un target: xxx@hotmail.com, ingresamos a la pagina maccount.live.com y tendremos una ventana como la siguiente:
 |
| Imagen 1: Selección de opción para restablecer contraseña. |
Seleccionamos la opción de ¿Olvidó la contraseña?, a continuación tendremos una ventana donde tendremos que llenar 2 campos, el primero con el target de la cuenta de correo y el segundo, con una captcha. Algo como esto:
 |
| Imagen 2: Introducción de target y captcha. |
En la siguiente página aparecerán 2 opciones, -dependiendo de la información ingresada al momento de crear la cuenta de correo-, una de ella es la que usaremos para obtener control total de la cuenta de correo target, esa opción es la de Restablecer la contraseña, por correo electrónico.
 |
| Imagen 3: Selección del método para restablecimiento de contraseña. |
Pero momento, nos dicen qué: para seguir con los pasos de restauración de contraseña, se enviará un mail con el procedimiento al correo alternativo. Pero que coño, sólo nos muestran las 2 primeras letras del correo alternativo, como hacemos para obtener toda la cuenta. Mirando el código fuente, se ve algo interesante ¡campos ocultos!, y voalá! uno de ellos es la cuenta de correo alternativa.
 |
| Imagen 4: Obtención del correo alternativo, por medio de campos ocultos en el formulario. |
Ahora tenemos un 50% de probabilidades de apoderarnos de la cuenta de correo inicial, sólo nos queda esperar y rogar a qué la cuenta de correo alternativa no esté creada o si está creada, esperemos a que por tiempo de inactividad en dicha cuenta se encuentre en estado deshabilitado. Vamos a la pagina principal de hotmail <login.live.com> e intentamos creamos la cuenta de correo alternativa obtenida.
 |
| Imagen 5: Verificación del estado de cuenta del correo alternativo. |
Pero que coño, puse la cuenta de correo alternativa y no existe, puedo crear dicha cuenta. Ahora si tenemos el 100% de probabilidades de apoderarnos del target principal. Creamos la cuenta, y realizamos los pasos anteriores con el fin de que nos envíen los pasos siguientes a la cuenta de correo que acabamos de crear.
Ingresamos a la cuenta que creamos, y miramos que hay un correo Restablecimiento de contraseña de Windows Live.
 |
| Imagen 6: Recibimiento de correo para restablecimiento de contraseña. |
Ahora solo nos queda seguir los pasos,
 |
| Imagen 7: Ingreso de la nueva contraseña del target principal. |
Fácil, verdad?.
FUENTE
No hay comentarios:
Publicar un comentario