• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Создаем фейковый проект для fluxion

n3d.b0y

Премиум
19.01.2018
70
80
#1
Статья для участия в конкурсе на codeby

Создаем фейковый проект для fluxion
Доброго времени суток. Хочу вам рассказать как можно создать свой фейковый проект для fluxion. Я использую форк проекта https://github.com/wi-fi-analyzer/fluxion так как считаю его наиболее стабильным. Когда будет свободное время хочу его переписать или на его основе сделать похожий софт но который будет отвечать моим потребностям. Если руки все таки дойдут то поделюсь с вами.

Для создание своего проекта вам понадобиться знания в html, css. Основы вы сможете подтянуть
Для просмотра контента необходимо: Войти или зарегистрироваться
, данного курса вам будет более чем достаточно.

Если у вас возник вопрос зачем это вообще надо я вам сразу дам на него ответ. Дело в том что те проекты которые есть в fluxion по умолчанию не представляют для нас никакой ценности так как их внешний вид устарел или вообще не подходит для стран СНГ что сразу отпугивает жертву и вызывает недоверие что соответственно снижает наши шансы на получения пароля от точки доступа. Надеюсь с этим разобрались.

И так приступим:

Все проекты должны быть связаны с скриптом верификации fluxion check.php это требуется для валидации введенного пароля. Данный файл генерируется автоматически когда мы выбираем интерфейс. Это значит что проект не может содержать файла с именами check.php так как они будут перезаписаны.

Данный форк Fluxion поддерживает только статическую html страницу с перенаправление на файл верификации. У 3 версии есть поддержка динамических страниц но он больше тупит и по этому он мня бесит) Хотя при желании можно сделать что бы данный форк тоже поддерживал ajax запросы.

Требование к статическому типу проекта:
  • index.htm - эта страница отображается когда пользователь в первый раз редиректит на наш фейк. index.htm должен содержать форму с редиректом на check.php.
  • error.html - данная страница отображается если жертва ввела невалидный пароль. error.html должен содержать форму с редиректом на check.php.
  • final.html - эта страница отображается, когда пользователь вводит правильный пароль.

Скрипты верификатора check.php ожидает отправки запроса с полем пароля через post запрос. Ниже указан принимаемый параметра для валидации check.php.

Допустимый POST параметр: kay1 - в данном параметре будет передаваться наш пароль.

Как только пароль будет проверен скриптом check.php сценарий перенаправит пользователя на страницу error.html или final.html в зависимости от результат.

Приступим к практике:

Для начало создами index.htm (.htm - я не опечатался именно так и должно быть). Для того чтобы не было лишних проблем можно создать два файла один с расширением htm а второй с html и наполнить их одинаковым содержимым. После того как создали файл накидаем html форму - в примере я сделаю простой макет а вы уже в свою очередь сможете потратить больше времени и скопировать внешний вид админки роутера так чтобы она внушала доверия.

HTML:
<html>
<title>TP-Link | TL-WN722N | Login</title>
<style>
    .logo {
        text-align: center;
    }
    .logo img {
        width: 200px;
    }
    .mass {
        text-align: center;
        margin: 10px 0;
    }
    .form {
        text-align: center;
    }
</style>
<body>
    <div class="logo">
        <img src="img/logo.jpg">
    </div>
    <div class="mass">
        Enter the password from your access point
    </div>
    <div class="form">
        <form method="POST" action="check.php">
            <input type="password" name="key1" placeholder="password wifi">
            <button type="submit" name="send">ok</button>
        </form>
    </div>
</body>
</html>
Затем создаем файл error.html. Добавим туда тоже самое только прибавим к нашей верстке еще сообщение об ошибке.
HTML:
<html>
<title>TP-Link | TL-WN722N | Login</title>
<style>
    .logo {
        text-align: center;
    }
    .logo img {
        width: 200px;
    }
    .mass {
        text-align: center;
        margin: 10px 0;
    }
    .form {
        text-align: center;
    }
    .warning {
        text-align: center;
        color: red;
    }
</style>
<body>
    <div class="logo">
        <img src="img/logo.jpg">
    </div>
    <div class="mass">
        Enter the password from your access point
    </div>
    <div class="form">
        <form method="POST" action="check.php">
            <input type="password" name="key1" placeholder="password wifi">
            <button type="submit" name="send">ok</button>
        </form>
    </div>
    <div class="warning">
        The password you entered is incorrect!
    </div>
</body>
</html>
Осталось создать последний файл final.html. Сюда мы добавим сообщения о успешной авторизации.
HTML:
<html>
<title>TP-Link | TL-WN722N | Login</title>
<style>
    .logo {
        text-align: center;
    }
    .logo img {
        width: 200px;
    }
    .mass {
        text-align: center;
        margin: 10px 0;
        color: green;
    }
</style>
<body>
    <div class="logo">
        <img src="img/logo.jpg">
    </div>
    <div class="mass">
        Autoization was successful!
    </div>
</body>
</html>
Index.html
index.png
error.html
error.png
final.html
final.png

Ну вот и все осталось добавить проект в fluxion. Так как каждый раз вносить в код изменение довольно не удобно мы будем заливать данные на ходу. Запускаем fluxion ловим рукопожатие переходим к выбору интерфейса выбираем вариант под номером 6 хотя это не принципиально и затем идем в директорию /tmp/TMPflux/data. В данном разделе заменяем имеющийся там файлы на свои. Теперь можем зайти на подставную точку и проверить результат нашей работы. Что бы делать меньше движений по заливу можно накидать не большой shell скрипт который в дальнейшем будет делать это за вас)

Если вы не имеете понятия что такое fluxion то ознакомьтесь с данным фреймворком можно
Для просмотра контента необходимо: Войти или зарегистрироваться
. Надеюсь данная статья была для вас полезна и вы для себя узнали что то новое. К слову, данного материала не должно был быть опубликован - но когда я писал первую статью оказалось что нет не где реализации данного метода в текстовом виде что бы прикрепить к первой статье и по этому пришлось с начало написать эту ;)
 

Вложения

Последнее редактирование:

-r_trash

New member
06.10.2017
2
0
#2
По умолчанию в fluxion лучше страницы,чем те что ты за 5 минут слепил.Можно было и лучше.
 

n3d.b0y

Премиум
19.01.2018
70
80
#3
По умолчанию в fluxion лучше страницы,чем те что ты за 5 минут слепил.Можно было и лучше.
Я за тебя работу делать не буду! Я показал как это делается и привел пример который можно взять за основу и обложить своей версткой по этому тут минимум html и css
 

Dimon_Any

Active member
11.01.2018
34
15
#4
Вообще отлично)) Спасибо за статью, надо будет попробывать)) Это хорошо что есть такая возможность, а фейковую страницу можно накатать уже какую нужно, по ходу дела))
 
Симпатии: Понравилось n3d.b0y
Вверх Снизу