Soft Атака с FotoSploit

Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 193
3 559
fotosploit.png
Приветствую Друзей и Форумчан.
Сегодня разберём неплохой инструмент для увода аккаунта Facebook или Google.

На днях специалист из Испании Cesar-Hack-Gray обнародовал свой труд.
Встречаем Fotosploit , который работает по принципу фишинговой атаки и социальной инженерии.

Те ,кто пользуются termux,им легче,для них и создан данный инструмент.
В свою очередь,покажу как затащить его на Arch Linux и работать.
При обычной установке будет ошибка, т.к .FotoSploit ищет директорию Root.
Поэтому надо перенести инструмент в директорию Root и приступать затем к установке.

Информация предоставлена исключительно в рамках ознакомления и изучения проблем ИБ.
Запрещено применение рассматриваемого инструмента в незаконных целях.


Установка:
Код:
# git clone https://github.com/Cesar-Hack-Gray/FotoSploit.git
# mv FotoSploit /root/
# cd FotoSploit
# chmod +x install.sh FotoSploit
# bash install.sh
# ./FotoSploit
Установка для Termux:
Код:
pkg update && pkg upgrade -y
pkg install -y php
pkg install -y python2
pkg install -y git
cd $HOME
git clone https://github.com/Cesar-Hack-Gray/FotoSploit
cd FotoSploit
ls
bash install.sh
./FotoSploit
Итак,для полноценной атаки нам потребуется ngrok.
И если он не установится вместе с инструментом,то сам скрипт ngrok надо будет скопировать в директорию инструмента.
Теперь потребуется фото .jpg размером не более 430х430
Фото тоже размещаем в директории Root.

Сама задумка такая,что берётся откровенное фото,которое можно разместить на странице соцсети.
У FotoSploit есть специальная опция,позволяющая делать краткое описание с ссылкой на фото .
По типу :"Моё откровенное фото смотри"

Запускаем Fotosploit
> show options
fotosploit2.png
Код:
> set foto /root/file.jpg
> set title url пишем заинтересованный комментарий
> set view YOUTUBE (или FACEBOOK)
> show options -проверка,что всё заполнено верно
> go
Следите,чтобы прогрузилось фото без ошибок,повторить если с первого раза этого не произошло.
fotosploit3.png
Генерируется ссылка с ngrok
Теперь смотрите,здесь ещё один секрет для Linux:
чтобы она отработала как положено,её приводим к виду https://hbhg2fg1.ngrok.io/id=1.php
Можно особо одарённым и в чистом виде ссылку подбросить,но лучше закодировать её.

Когда атакуемое лицо переходит по ссылке,то появляется заставка 18+ и для просмотра требуется ввод логина и пароля.
Пока тело думает,у нас уже есть IP,DNS,версия ОС, провайдер и гео-координаты с другими данными
fotosploit4.png
И если всё же надумают авторизоваться,то попадут на нормальный ютуб канал.
Но к атакующему прилетит логин с паролем.
fotosploit5.png
Можно и посмотреть по ссылке с координатами что там
fotosploit6.png
На этом у меня пока всё,всех Благодарю за внимание и до новых встреч.
Прилагаю также видео автора инструмента
 
Последнее редактирование:
S

swen8819

Member
23.11.2019
9
1
Только Фейсбук и Гугл?? Вк например ??
 
BF-107

BF-107

Active member
09.12.2016
34
20
Обсуждение есть на телеге.
 
Rapira

Rapira

New member
14.03.2018
1
2
Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot. Или лыжи не едут, или что-то с руками :(
 
  • Нравится
Реакции: LTD и student888
rubberducky

rubberducky

New member
07.09.2019
1
0
Идея зачетная, но зачем все так усложнять? Не легче ли самим прописать несколько строчек open graph на фишере?
 
f22

f22

Red Team
05.05.2019
1 412
108
Теперь смотрите,здесь ещё один секрет для Linux:
чтобы она отработала как положено,её приводим к виду https://hbhg2fg1.ngrok.io/id=1.php
Можно сделать ещё красивее:
Сайт
На нём есть сервис, который сокращает ссылки
Самое интересное, что можно в конце ссылки указать "расширение",
chrome_tIL1fpjhAn.png
приведя ссылку, например, к виду
 
  • Нравится
Реакции: potemking и LTD
LTD

LTD

Member
14.12.2019
22
16
Привет! При попытке установить фото:
Screenshot_1.png
 
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 193
3 559
Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot.
На Kali nethunter по идее должен работать,на стандартной Kali может не пойти.
Parrot обновлённый тоже может не потянуть из-за версий установочных пакетов.
Привет! При попытке установить фото:
скрипт ngrok попробуйте скопировать в директорию bin
 
  • Нравится
Реакции: Rapira и LTD
Z

zhenyoker

Member
27.04.2017
19
5
а зачем логин и пароль от гугла или фб, если при их вводе в гугле 99% запросит проверку а на фб 90%? нужна же куки сессия. или я чего-то не знаю?
 
f22

f22

Red Team
05.05.2019
1 412
108
а зачем логин и пароль от гугла или фб, если при их вводе в гугле 99% запросит проверку а на фб 90%? нужна же куки сессия. или я чего-то не знаю?
А что мешает скрипту эту сессию поднять, авторизовавшись с указанными данными?
Та проверка, о которой ты говоришь, появится уже после введения "жертвой" логина и пароля.
Так что даже, если она откажется от подтверждения, данные к тому времени уже утекут.

Если ты имеешь в виду дальнейшую авторизацию, то ничто не мешает найти нужные прокси в нужной стране,
или авторизоваться через какие-то другие сервисы.
 
  • Нравится
Реакции: Vertigo и LTD
Z

zhenyoker

Member
27.04.2017
19
5
А что мешает скрипту эту сессию поднять, авторизовавшись с указанными данными?
Та проверка, о которой ты говоришь, появится уже после введения "жертвой" логина и пароля.
Так что даже, если она откажется от подтверждения, данные к тому времени уже утекут.

Если ты имеешь в виду дальнейшую авторизацию, то ничто не мешает найти нужные прокси в нужной стране,
или авторизоваться через какие-то другие сервисы.
Я имею ввиду дальнейшую авторизацию. Но прокси нормальные еще поискать надо. А что за другие сервисы для авторизации для гугла например?
 
f22

f22

Red Team
05.05.2019
1 412
108
Я имею ввиду дальнейшую авторизацию. Но прокси нормальные еще поискать надо. А что за другие сервисы для авторизации для гугла например?
Ты же видишь сколько сейчас сервисов у гугла: и youtube, и календарь, и таблицы, и много чего ещё.
Вполне возможно, что сейчас или потом при входе в один из них получится авторизоваться без дополнительной проверки.
Другой вариант - это возможность использования тех же учетных данных для совсем иного сервиса, где не требуется проверка вообще.
 
LTD

LTD

Member
14.12.2019
22
16
ТС, окажи милость, дай подсказку)
 
Z

zhenyoker

Member
27.04.2017
19
5
Ты же видишь сколько сейчас сервисов у гугла: и youtube, и календарь, и таблицы, и много чего ещё.
Вполне возможно, что сейчас или потом при входе в один из них получится авторизоваться без дополнительной проверки.
Другой вариант - это возможность использования тех же учетных данных для совсем иного сервиса, где не требуется проверка вообще.
авторизация на сервисах идет через одну и ту же форму.
А пароль сейчас вообще будет сложно получить, с последним обновлением хрома они вроде как хешируют поле пароля, и на прозрачном прокси виден только хэш. Такая вот защита от фишинга
 
Vertigo

Vertigo

Lex mea est Vulgate Linux
Gold Team
15.02.2017
1 193
3 559
ТС, окажи милость, дай подсказку)
Да если бы я знал решение проблем,поэтому и молчу сижу.)
Капризный инструмент.На BlackArch заводится легко,но бывает ,что придирается к файлам-картинкам,или не прогружает их с первого раза.
Пробуйте его переустановить сразу в директорию root ,ngrok он сам должен установить в свою директорию.
Автор 3 дня назад вносил изменения,пофиксил некоторые ошибки,но просто сам скрипт всё-таки создан для termux.
 
f22

f22

Red Team
05.05.2019
1 412
108
авторизация на сервисах идет через одну и ту же форму.
Речь не о форме. Ты можешь подключаться к сервисам не только через браузер, но и через телефон, телевизор и черт знает что ещё.
А какая реализация этого подключения есть и будет там неизвестно.
В любом случае это один из векторов атаки, использовать тебе его или нет, решай сам.

последним обновлением хрома они вроде как хешируют поле пароля, и на прозрачном прокси виден только хэш.
А как сайт, к которому обращается браузер, поймёт что это хеш, а не пароль?
На большинстве сайтов идёт авторизация по паролю, а не по хешу...
И не обязательно пользователь использует chrome, есть и другие браузеры.
 
Z

zhenyoker

Member
27.04.2017
19
5
Речь не о форме. Ты можешь подключаться к сервисам не только через браузер, но и через телефон, телевизор и черт знает что ещё.
А какая реализация этого подключения есть и будет там неизвестно.
В любом случае это один из векторов атаки, использовать тебе его или нет, решай сам.


А как сайт, к которому обращается браузер, поймёт что это хеш, а не пароль?
На большинстве сайтов идёт авторизация по паролю, а не по хешу...
И не обязательно пользователь использует chrome, есть и другие браузеры.
наверное речь идет о самых популярных(гугл, фб, ... По аналогии с HSTS, где они уже вшиты в браузер) ну хром самый популярный, по моей статистике. Возможно остальные потом присоединятся
 
Мы в соцсетях: