Sherlock para emails?


Dark

Dark

🔥root313🔥
Staff
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder Pro
Noder
Hace poco quise usar sherlock para ver como de útil podía ser, y bueno, me hubiera resultado mucho más útil poder buscar por emails. Según vi no se podía (logicamente) ya que son datos privados, pero en muchísimo sitios si le das a He olvidado la contraseña y pones un email no registrado te dice que este email no está registrado.

En Instagram:

1679171320785.png


En Twitter:

1679171354707.png


Incluso en el foro:

1679171412894.png


Entonces, no se podría hacer un sherlock que haga solicitudes POST en las páginas de restablecer la contraseña de varias páginas web y según el resultado obtenido deducir si ese email está registrado en la web o no? Tipo, digo yo que la respuesta que dará la web de si te envía el email de recuperación o te dice que no está registrado será distinta.

Podría ser muy útil, imagina que encuentras una contraseña leakeada del correo de alguien, y obviamente alguien ya habrá intentado acceder a esa cuenta leakeada y la persona habrá cambiado al contraseña, pero a lo mejor no ha cambiado esa contraseña de toooodos los sitios donde está registrado con ese mismo mail.

Podría ser un proyecto tocho de hacer, no he encontrado nada por ahí que ya haga esto.

Si alguno sabe sobre esto o le interesa el proyecto que me diga.
 
  • Like
Reacciones : Davix478, M4ndy, Carnelio y 3 otros
DBØY

DBØY

>su 313
Burgués de Nodo
Noderador
Nodero
Noder
Sherlock será open source no? animate a añadir esa función tu xd
Ayudaría pero no tengo mucha idea de programación, nisiquiera se en que lenguaje esta programado
 
Dark

Dark

🔥root313🔥
Staff
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder Pro
Noder
DBØY dijo:
Sherlock será open source no? animate a añadir esa función tu xd
Ayudaría pero no tengo mucha idea de programación, nisiquiera se en que lenguaje esta programado
Hacer clic para expandir...
de nada me sirve el código de sherlock ya que habría que cambiar por completo el código, sherlock hace consultas a enlaces con x nombre de perfil y si no da error devuelve el enlace como existente, lo mío hay que introducir datos en un formulario y ver que respuesta da para cada cosa, si existe o no el correo.

El código sería algo muy sencillo, adaptar el código de sherlock sería complicarse la vida.

Se puede hacer en Python mismamente, o en Node JS (podría hacerlo en un bot de discord), con tal de poder hacer solicitudes POST a una web y obtener la respuesta ya sirve.
 
  • Like
Reacciones : DBØY
Dark

Dark

🔥root313🔥
Staff
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder Pro
Noder
Pendejo dijo:
No es eso lo que hace un aio checker?
Hacer clic para expandir...
Vale lo he buscado y no tiene nada que ver un AIO Checker con lo que yo digo, el AIO Checker es para checkear cuentas y tal, lo que yo digo es comprobar si un correo está usado en una página o no.
 
  • Like
Reacciones : Pendejo
Carnelio

Carnelio

De Moroland
Burgués de Nodo
Noderador
Nodero
Noder
Dark dijo:
Hace poco quise usar sherlock para ver como de útil podía ser, y bueno, me hubiera resultado mucho más útil poder buscar por emails. Según vi no se podía (logicamente) ya que son datos privados, pero en muchísimo sitios si le das a He olvidado la contraseña y pones un email no registrado te dice que este email no está registrado.

En Instagram:

Ver el archivo adjunto 22801

En Twitter:

Ver el archivo adjunto 22802

Incluso en el foro:

Ver el archivo adjunto 22803

Entonces, no se podría hacer un sherlock que haga solicitudes POST en las páginas de restablecer la contraseña de varias páginas web y según el resultado obtenido deducir si ese email está registrado en la web o no? Tipo, digo yo que la respuesta que dará la web de si te envía el email de recuperación o te dice que no está registrado será distinta.

Podría ser muy útil, imagina que encuentras una contraseña leakeada del correo de alguien, y obviamente alguien ya habrá intentado acceder a esa cuenta leakeada y la persona habrá cambiado al contraseña, pero a lo mejor no ha cambiado esa contraseña de toooodos los sitios donde está registrado con ese mismo mail.

Podría ser un proyecto tocho de hacer, no he encontrado nada por ahí que ya haga esto.

Si alguno sabe sobre esto o le interesa el proyecto que me diga.
Hacer clic para expandir...
Hace unos meses pensé lo mismo. Estuve pensando un tiempo de como crear el código, pero vi que era una fumada y lo deje.
Tampoco tengo mucha idea de programación, pero viendo que ahora esta Chat GPT le pediré que lo cree a ver si hay suerte jajaja

Seguro que habra un programa que haga eso pero seguramente este en un post de un foro muy friki y en ruso
 
Pendejo

Pendejo

Miembro muy activo
Dark dijo:
Vale lo he buscado y no tiene nada que ver un AIO Checker con lo que yo digo, el AIO Checker es para checkear cuentas y tal, lo que yo digo es comprobar si un correo está usado en una página o no.
Hacer clic para expandir...
Si pero tiene para checkear en varios sitios por eso lo decía, y este párrafo da a entender que esa es la finalidad para la que quieres saber si el correo esta usado o no
Dark dijo:
Podría ser muy útil, imagina que encuentras una contraseña leakeada del correo de alguien, y obviamente alguien ya habrá intentado acceder a esa cuenta leakeada y la persona habrá cambiado al contraseña, pero a lo mejor no ha cambiado esa contraseña de toooodos los sitios donde está registrado con ese mismo mail.
Hacer clic para expandir...

Pero si pensándolo tienes razón no es lo mismo, lo que tu dices te diría todos los sitios en el que hay una cuenta existente de una (aunque sin saber si el login es valido o no), en cambio con el checker tendrías que ir uno por uno.
 
Dark

Dark

🔥root313🔥
Staff
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder Pro
Noder
Carnelio dijo:
Hace unos meses pensé lo mismo. Estuve pensando un tiempo de como crear el código, pero vi que era una fumada y lo deje.
Tampoco tengo mucha idea de programación, pero viendo que ahora esta Chat GPT le pediré que lo cree a ver si hay suerte jajaja
Hacer clic para expandir...
tampoco es tan fumada, haces una solicitud HTTP en la URL de "He olvidado mi contraseña" de cada página con el correo específicado y una condición de si la respuesta de la web es x, pues print o no print, sabes? Hay que ver que respuestas da la página si el correo no existe o existe, esa es mi principal duda yo creo, el resto es fácil.
 
Carnelio

Carnelio

De Moroland
Burgués de Nodo
Noderador
Nodero
Noder
Dark dijo:
tampoco es tan fumada, haces una solicitud HTTP en la URL de "He olvidado mi contraseña" de cada página con el correo específicado y una condición de si la respuesta de la web es x, pues print o no print, sabes? Hay que ver que respuestas da la página si el correo no existe o existe, esa es mi principal duda yo creo, el resto es fácil.
Hacer clic para expandir...
Pues ahora me has motivado estos días iré haciendo cosas con un colega si veo un avance te aviso
 
M4ndy

M4ndy

【=◈︿◈=】
Noder
Me gusta como piensas Dark, llevaba tiempo que te lo quería decir tío jajaja. Realmente le he dado un par de vueltas y me topado con páginas que te decían "Hemos enviado un correo de recuperación a la cuenta solicitada. Si existe en la Base de Datos le llegará un mail en la bandeja de entrada para reestablecer su contraseña" y es una info que puede parecer una tontería pero por lo menos no te asegura que está o no en la Base de Datos de la aplicación. Jugar con mensajes de error es mucha información la que da a una persona que intenta robar cuentas u obtener información. Así que te diría que se podría investigar a ver si se puede sacar algo guapo.
 
  • Like
Reacciones : Dark
Dark

Dark

🔥root313🔥
Staff
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder Pro
Noder
M4ndy dijo:
Me gusta como piensas Dark, llevaba tiempo que te lo quería decir tío jajaja. Realmente le he dado un par de vueltas y me topado con páginas que te decían "Hemos enviado un correo de recuperación a la cuenta solicitada. Si existe en la Base de Datos le llegará un mail en la bandeja de entrada para reestablecer su contraseña" y es una info que puede parecer una tontería pero por lo menos no te asegura que está o no en la Base de Datos de la aplicación. Jugar con mensajes de error es mucha información la que da a una persona que intenta robar cuentas u obtener información. Así que te diría que se podría investigar a ver si se puede sacar algo guapo.
Hacer clic para expandir...
Claro, en el caso de esas que te dicen que en caso de que hayan encontrado ese email en su base de datos que le han enviado un correo, bueno, habrá que comprobarlo manualmente, se me acaba de ocurrir que también se podría probar con el formulario de registro, según lo complejo que sea, pero bueno, que tampoco haría mucho daño poner una opción para ese tipo de respuesta como interrogante.

El uso que yo quería darle a esto es probar una contraseña leakeada de hace tiempo seguramente en distintas webs, porque la de datos personales que puede haber en una de estas cuentas es inimaginable, o incluso métodos de pago.

Yo mañana le echaré un ojo a ver si consigo ejecutar con éxito este "programa" con Instagram o cualquier web famosa, a partir de ahí ya es cuestión de ir añadiendo páginas y las respuestas que hay que buscar en esas páginas con tal de hacer un programa tocho que pruebe en cientos de páginas web.
 
  • Like
Reacciones : M4ndy
M4ndy

M4ndy

【=◈︿◈=】
Noder
Dark dijo:
Claro, en el caso de esas que te dicen que en caso de que hayan encontrado ese email en su base de datos que le han enviado un correo, bueno, habrá que comprobarlo manualmente, se me acaba de ocurrir que también se podría probar con el formulario de registro, según lo complejo que sea, pero bueno, que tampoco haría mucho daño poner una opción para ese tipo de respuesta como interrogante.

El uso que yo quería darle a esto es probar una contraseña leakeada de hace tiempo seguramente en distintas webs, porque la de datos personales que puede haber en una de estas cuentas es inimaginable, o incluso métodos de pago.

Yo mañana le echaré un ojo a ver si consigo ejecutar con éxito este "programa" con Instagram o cualquier web famosa, a partir de ahí ya es cuestión de ir añadiendo páginas y las respuestas que hay que buscar en esas páginas con tal de hacer un programa tocho que pruebe en cientos de páginas web.
Hacer clic para expandir...
Putamadre, ve updateando el hilo que me interesa bastante. Ideas de cyber tengo pero no tanto de programación por eso en mi cabeza podría plantear cómo hacerlo pero hacer un programa ya me pilla, pero dale caña
 
  • Like
Reacciones : Dark
A

Anonymous (ee65)

El primer probelam que nos aparece es que depende de la pagina que queremos acceder el codigo de entra
Dark dijo:
Claro, en el caso de esas que te dicen que en caso de que hayan encontrado ese email en su base de datos que le han enviado un correo, bueno, habrá que comprobarlo manualmente, se me acaba de ocurrir que también se podría probar con el formulario de registro, según lo complejo que sea, pero bueno, que tampoco haría mucho daño poner una opción para ese tipo de respuesta como interrogante.

El uso que yo quería darle a esto es probar una contraseña leakeada de hace tiempo seguramente en distintas webs, porque la de datos personales que puede haber en una de estas cuentas es inimaginable, o incluso métodos de pago.

Yo mañana le echaré un ojo a ver si consigo ejecutar con éxito este "programa" con Instagram o cualquier web famosa, a partir de ahí ya es cuestión de ir añadiendo páginas y las respuestas que hay que buscar en esas páginas con tal de hacer un programa tocho que pruebe en cientos de páginas web.
Hacer clic para expandir...
Por lo que estoy viendo cada página tiene un campo de entrada para poner el correo con un nombre distinto, así que se tendría que crear parte de códigos exclusivas que solo funcionan en x páginas webs ns si me explico bien
 
Carnelio

Carnelio

De Moroland
Burgués de Nodo
Noderador
Nodero
Noder
Anonymous (ee65) dijo:
El primer probelam que nos aparece es que depende de la pagina que queremos acceder el codigo de entra

Por lo que estoy viendo cada página tiene un campo de entrada para poner el correo con un nombre distinto, así que se tendría que crear parte de códigos exclusivas que solo funcionan en x páginas webs ns si me explico bien
Hacer clic para expandir...
Esto se refiere <input class="_aaie _aaig _adrq _aaic _ag7n" id="********" name="cppEmailOrUsername" placeholder="Correo electrónico, teléfono o nombre de usuario" spellcheck="true" type="text" value="">
Esta línea html es de Instagram y como se puede ver el campo name se llama cppEmailOrUsername .

Pero el de twitter que es el siguiente <input type="text" class="js-username-field email-input js-initial-focus" placeholder="Correo electrónico" name="account_identifier" autocomplete="email" required="">
Y aquí el campo name tiene un nombre distinto que es account_identifier.

Así que se tendría que crear líneas de código específicas para x url.

Por eso dije que era una fumada espectacular porque cada página tiene el un name distinto del campo.

O puede ser que la pizza de antes me haya reventado la cabeza ns
 
T

tetrik

Miembro muy activo
Carnelio dijo:
Esto se refiere <input class="_aaie _aaig _adrq _aaic _ag7n" id="********" name="cppEmailOrUsername" placeholder="Correo electrónico, teléfono o nombre de usuario" spellcheck="true" type="text" value="">
Esta línea html es de Instagram y como se puede ver el campo name se llama cppEmailOrUsername .

Pero el de twitter que es el siguiente <input type="text" class="js-username-field email-input js-initial-focus" placeholder="Correo electrónico" name="account_identifier" autocomplete="email" required="">
Y aquí el campo name tiene un nombre distinto que es account_identifier.

Así que se tendría que crear líneas de código específicas para x url.

Por eso dije que era una fumada espectacular porque cada página tiene el un name distinto del campo.

O puede ser que la pizza de antes me haya reventado la cabeza ns
Hacer clic para expandir...
Hombre, eso era más que evidente jajajaja no van a ser todas las webs iguales y para colmo van a tener los mismos identificadores 😅 Habrá que hacer un listado de webs y cada una tendrá su identificador y su debida respuesta. No todas te devolverán igual si existe o no tampoco.
 
CParrilla20

CParrilla20

Miembro muy activo
Noder
Podría intentar hacerlo, pero necesitaria una lista de sitios relevantes a nivel mundial, algo así como lo que hace sherlock, pero sin links, entiendo tu punto, buscare aver si puedo encontrar la lista en el codigo de sherlock
 
Davix478

Davix478

@kzsp8
Noderador
Nodero
Noder
Dark dijo:
Hace poco quise usar sherlock para ver como de útil podía ser, y bueno, me hubiera resultado mucho más útil poder buscar por emails. Según vi no se podía (logicamente) ya que son datos privados, pero en muchísimo sitios si le das a He olvidado la contraseña y pones un email no registrado te dice que este email no está registrado.

En Instagram:

Ver el archivo adjunto 22801

En Twitter:

Ver el archivo adjunto 22802

Incluso en el foro:

Ver el archivo adjunto 22803

Entonces, no se podría hacer un sherlock que haga solicitudes POST en las páginas de restablecer la contraseña de varias páginas web y según el resultado obtenido deducir si ese email está registrado en la web o no? Tipo, digo yo que la respuesta que dará la web de si te envía el email de recuperación o te dice que no está registrado será distinta.

Podría ser muy útil, imagina que encuentras una contraseña leakeada del correo de alguien, y obviamente alguien ya habrá intentado acceder a esa cuenta leakeada y la persona habrá cambiado al contraseña, pero a lo mejor no ha cambiado esa contraseña de toooodos los sitios donde está registrado con ese mismo mail.

Podría ser un proyecto tocho de hacer, no he encontrado nada por ahí que ya haga esto.

Si alguno sabe sobre esto o le interesa el proyecto que me diga.
Hacer clic para expandir...
la idea no es mala, pero segun tengo entendido las paginas como ig y twitter tienen un limite de solicitudes de inicio de sesion a cada x tiempo, se podran bypassear?, si, seguro, pero aun asi es un proyecto grande, pero no es mala idea
 
Dark

Dark

🔥root313🔥
Staff
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder Pro
Noder
Davix478 dijo:
la idea no es mala, pero segun tengo entendido las paginas como ig y twitter tienen un limite de solicitudes de inicio de sesion a cada x tiempo, se podran bypassear?, si, seguro, pero aun asi es un proyecto grande, pero no es mala idea
Hacer clic para expandir...
Creo que no lo has pillado, se mandan solicitudes de restablecer la contraseña, y habría la opción de hacerlo con proxies.
 
  • Like
Reacciones : Davix478
Davix478

Davix478

@kzsp8
Noderador
Nodero
Noder
Dark dijo:
Creo que no lo has pillado, se mandan solicitudes de restablecer la contraseña, y habría la opción de hacerlo con proxies.
Hacer clic para expandir...
ahora si entendi mejor, tambien es verdad lo de las proxies, a mi se me queda grande aun asi el proyecto, pero la idea es buena, lo unico que dudo que en todo el internet no haya nadie que lo haya pensado, buscare info esta noche
 
Hay que estar conectado o registrado para responder aquí.
Arriba Pie