Атака с FotoSploit

[Vertigo]

Приветствую Друзей и Форумчан.
Сегодня разберём неплохой инструмент для увода аккаунта Facebook или Google.

На днях специалист из Испании Cesar-Hack-Gray обнародовал свой труд.
Встречаем Fotosploit , который работает по принципу фишинговой атаки и социальной инженерии.

Те ,кто пользуются termux,им легче,для них и создан данный инструмент.
В свою очередь,покажу как затащить его на Arch Linux и работать.
При обычной установке будет ошибка, т.к .FotoSploit ищет директорию Root.
Поэтому надо перенести инструмент в директорию Root и приступать затем к установке.

Информация предоставлена исключительно в рамках ознакомления и изучения проблем ИБ.
Запрещено применение рассматриваемого инструмента в незаконных целях.

Установка:

# git clone https://github.com/Cesar-Hack-Gray/FotoSploit.git
# mv FotoSploit /root/
# cd FotoSploit
# chmod +x install.sh FotoSploit
# bash install.sh
# ./FotoSploit

Установка для Termux:

pkg update && pkg upgrade -y
pkg install -y php
pkg install -y python2
pkg install -y git
cd $HOME
git clone https://github.com/Cesar-Hack-Gray/FotoSploit
cd FotoSploit
ls
bash install.sh
./FotoSploit

Итак,для полноценной атаки нам потребуется ngrok.
И если он не установится вместе с инструментом,то сам скрипт ngrok надо будет скопировать в директорию инструмента.
Теперь потребуется фото .jpg размером не более 430х430
Фото тоже размещаем в директории Root.

Сама задумка такая,что берётся откровенное фото,которое можно разместить на странице соцсети.
У FotoSploit есть специальная опция,позволяющая делать краткое описание с ссылкой на фото .
По типу :"Моё откровенное фото смотри"

Запускаем Fotosploit
> show options

> set foto /root/file.jpg
> set title url пишем заинтересованный комментарий
> set view YOUTUBE (или FACEBOOK)
> show options -проверка,что всё заполнено верно
> go

Следите,чтобы прогрузилось фото без ошибок,повторить если с первого раза этого не произошло.

Генерируется ссылка с ngrok
Теперь смотрите,здесь ещё один секрет для Linux:
чтобы она отработала как положено,её приводим к виду https://hbhg2fg1.ngrok.io/id=1.php
Можно особо одарённым и в чистом виде ссылку подбросить,но лучше закодировать её.

Когда атакуемое лицо переходит по ссылке,то появляется заставка 18+ и для просмотра требуется ввод логина и пароля.
Пока тело думает,у нас уже есть IP,DNS,версия ОС, провайдер и гео-координаты с другими данными

И если всё же надумают авторизоваться,то попадут на нормальный ютуб канал.
Но к атакующему прилетит логин с паролем.

Можно и посмотреть по ссылке с координатами что там

На этом у меня пока всё,всех Благодарю за внимание и до новых встреч.
Прилагаю также видео автора инструмента

 

[swen8819]

Только Фейсбук и Гугл?? Вк например ??

 

[x1me]

Только Фейсбук и Гугл?? Вк например ??

Вроде как можно, если веб часть переписать под вк. Еще исходники нужны FotoSploit

 

[BF-107]

Обсуждение есть на телеге.

 

[Rapira]

Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot. Или лыжи не едут, или что-то с руками

 

[rubberducky]

Идея зачетная, но зачем все так усложнять? Не легче ли самим прописать несколько строчек open graph на фишере?

 

[f22]

Теперь смотрите,здесь ещё один секрет для Linux:
чтобы она отработала как положено,её приводим к виду https://hbhg2fg1.ngrok.io/id=1.php

Можно сделать ещё красивее:
Сайт

Ссылка скрыта от гостей

На нём есть сервис, который сокращает ссылки
Самое интересное, что можно в конце ссылки указать "расширение",

приведя ссылку, например, к виду

Ссылка скрыта от гостей

 

[LTD]

Привет! При попытке установить фото:

 

[Vertigo]

Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot.

На Kali nethunter по идее должен работать,на стандартной Kali может не пойти.
Parrot обновлённый тоже может не потянуть из-за версий установочных пакетов.

Привет! При попытке установить фото:

скрипт ngrok попробуйте скопировать в директорию bin

 

[LTD]

скрипт ngrok попробуйте скопировать в директорию bin

Помогло, но теперь фото не хочет грузить. 3 разных варианта, разных размеров до 430х430. В чём косяк?(

 

[zhenyoker]

а зачем логин и пароль от гугла или фб, если при их вводе в гугле 99% запросит проверку а на фб 90%? нужна же куки сессия. или я чего-то не знаю?

 

[f22]

а зачем логин и пароль от гугла или фб, если при их вводе в гугле 99% запросит проверку а на фб 90%? нужна же куки сессия. или я чего-то не знаю?

А что мешает скрипту эту сессию поднять, авторизовавшись с указанными данными?
Та проверка, о которой ты говоришь, появится уже после введения "жертвой" логина и пароля.
Так что даже, если она откажется от подтверждения, данные к тому времени уже утекут.

Если ты имеешь в виду дальнейшую авторизацию, то ничто не мешает найти нужные прокси в нужной стране,
или авторизоваться через какие-то другие сервисы.

 

[zhenyoker]

А что мешает скрипту эту сессию поднять, авторизовавшись с указанными данными?
Та проверка, о которой ты говоришь, появится уже после введения "жертвой" логина и пароля.
Так что даже, если она откажется от подтверждения, данные к тому времени уже утекут.

Если ты имеешь в виду дальнейшую авторизацию, то ничто не мешает найти нужные прокси в нужной стране,
или авторизоваться через какие-то другие сервисы.

Я имею ввиду дальнейшую авторизацию. Но прокси нормальные еще поискать надо. А что за другие сервисы для авторизации для гугла например?

 

[f22]

Я имею ввиду дальнейшую авторизацию. Но прокси нормальные еще поискать надо. А что за другие сервисы для авторизации для гугла например?

Ты же видишь сколько сейчас сервисов у гугла: и youtube, и календарь, и таблицы, и много чего ещё.
Вполне возможно, что сейчас или потом при входе в один из них получится авторизоваться без дополнительной проверки.
Другой вариант - это возможность использования тех же учетных данных для совсем иного сервиса, где не требуется проверка вообще.

 

[LTD]

ТС, окажи милость, дай подсказку)

 

[zhenyoker]

Ты же видишь сколько сейчас сервисов у гугла: и youtube, и календарь, и таблицы, и много чего ещё.
Вполне возможно, что сейчас или потом при входе в один из них получится авторизоваться без дополнительной проверки.
Другой вариант - это возможность использования тех же учетных данных для совсем иного сервиса, где не требуется проверка вообще.

авторизация на сервисах идет через одну и ту же форму.
А пароль сейчас вообще будет сложно получить, с последним обновлением хрома они вроде как хешируют поле пароля, и на прозрачном прокси виден только хэш. Такая вот защита от фишинга

 

[Vertigo]

ТС, окажи милость, дай подсказку)

Да если бы я знал решение проблем,поэтому и молчу сижу.)
Капризный инструмент.На BlackArch заводится легко,но бывает ,что придирается к файлам-картинкам,или не прогружает их с первого раза.
Пробуйте его переустановить сразу в директорию root ,ngrok он сам должен установить в свою директорию.
Автор 3 дня назад вносил изменения,пофиксил некоторые ошибки,но просто сам скрипт всё-таки создан для termux.

 

[f22]

авторизация на сервисах идет через одну и ту же форму.

Речь не о форме. Ты можешь подключаться к сервисам не только через браузер, но и через телефон, телевизор и черт знает что ещё.
А какая реализация этого подключения есть и будет там неизвестно.
В любом случае это один из векторов атаки, использовать тебе его или нет, решай сам.

последним обновлением хрома они вроде как хешируют поле пароля, и на прозрачном прокси виден только хэш.

А как сайт, к которому обращается браузер, поймёт что это хеш, а не пароль?
На большинстве сайтов идёт авторизация по паролю, а не по хешу...
И не обязательно пользователь использует chrome, есть и другие браузеры.

 

[zhenyoker]

Речь не о форме. Ты можешь подключаться к сервисам не только через браузер, но и через телефон, телевизор и черт знает что ещё.
А какая реализация этого подключения есть и будет там неизвестно.
В любом случае это один из векторов атаки, использовать тебе его или нет, решай сам.


А как сайт, к которому обращается браузер, поймёт что это хеш, а не пароль?
На большинстве сайтов идёт авторизация по паролю, а не по хешу...
И не обязательно пользователь использует chrome, есть и другие браузеры.

наверное речь идет о самых популярных(гугл, фб, ... По аналогии с HSTS, где они уже вшиты в браузер) ну хром самый популярный, по моей статистике. Возможно остальные потом присоединятся

 

[Qwerty1234567890]

Да ребят это лучший способ фишинга который я встречал, только плохо что по ip правильно только страну показывает а так все идеально
Совет: чтобы фотка прогружалась нужно обрезать ее в галерее до размера ниже 430x430, ещё когда я впервые запускал скрипт у меня была ошибка типа "invaldo red social " я не знал что делать
Нужно ввести set red social --help