• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья Блуждаем по просторам GitHub: Дыры, скрипты, QR-коды и чертовщина

Статью эту я уже начинаю писать раз третий - не то... Прежде, чем я снова заброшу это, я хочу , чтобы ты, дорогой читатель, знал сколько времени мне пришлось потратить на сбор информации и тест всего ниже представленного на своей машине.. Около трёх дней, потерял я сноровку, давно не включал Kali - имеем, что имеем. Но я бы расценил это, как благо для тебя, читатель, ибо во время тестирования и проверки работоспособности возникали целая уйма проблем и ошибок, кстати , с которыми встретились бы вы, пытаясь использовать нижепредставленные скрипты. Ну, хватит затягивать, переходим к делу.

Заглавие

Не будем мы с вами открывать Америку и вновь: пойдёт дело о вещах общедоступных,но опасных в меру, о небольшой халатности и мошенничестве, которая ставит под угрозу вашу приватность и безопасность. Сегодня предлагаю я вам, достаточно увлекательный, тур по просторам GitHub'a.
Ветром попутным давайте обрисуем общую картину нашего путешествия, дабы исключить недовольных:
  • История о Donation Alerts. Или как платёжная система опустилась к уровню LightShot и коллег-бандитов.
  • Шифр-злодей. Или, как посредством СИ получить доступ к частным перепискам Whatsapp.
  • Наверное, и впредь обман - это вездесущее..
Ловите Дисклеймер и погнали..

На самом деле я против зла и то, что я покажу вам далее может быть практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.

История о Donation Alerts. Или как платёжная система опустилась к уровню LightShot и коллег-бандитов его.

Эту историю нужно начинать ещё с не очень далекого 2019 года, когда мною была написана статья о том, как наши приватные фотоматериалы, доверенные сомнительным ресурсам, попадают в руки злоумышленникам.

Тогда мы рассматривали это на примере двух популярных фотофалообменников: Imgur и LightShot, в которых банальным перебором чисел в ссылке мы могли получить доступ к абсолютно чужим фоточкам и делать с ними, что угодно нам.

Забавное то, что даже в пользовательском соглашении приложения не было ни слова о том, что по-факту, мы предоставляем свою конфиденциальную информацию на всеобщее обозрение. Это своего рода публичный хостинг картинок, но ведь ресурс о этом не оговорился ни словом, поэтому наивные пользователи сети начали выгружать на сервера всё, что только могли придумать: Интимные фото, сканы документов, переписки и всё-всё в этом духе. Злоумышленники ,не дураки они, поверь, этим начали активно пользоваться - кредиты, шантажи..

Так вот к чему же это я, на начале года сего, такой ресурс, как Donation Alerts, который , как я понял, предоставляет платёжные различного рода стримерам, ютуберам; дабы их фанаты могли отправлять что-то типа пожертвований любимому творцу; недавно эта платёжная система, хочу именно так её классифицировать, добавила возможность отправки голосовых донатов.

Screenshot_1.png


И тут что-то меня накрыло дежавью, создав два аккаунта на этом сервисе, я отправил себе же один рубль с голосовым сообщения, этой манипуляцией я получил готовое голосовое сообщение на аккаунте получателя, после кликнув правой клавишей мыши , заходим в код элемента , ищем ссылку на запись, переходим по ней... У нас теперь открыта новая вкладка браузера в которой есть только черный фон и плеер.

Переходим в адресную строку и начинаем банальный подбор - раз, два, три - это успех. Третий раз принёс нам абсолютно чужое сообщения для другого человека и мы можем его слушать... Интересно, приватные записи донатов оказались в публичном доступе..

Просто сидеть и подбирать нужное число - это, конечно, весьма весело, но не практично и не красиво. Господа-умельцы с Гитхаба написали скрипт на Python для автоматического парсинга этих сообщений..

Снимок экрана_2020-03-27_00-18-04.png


Перед использованием советую проверить и обновить версию Python, хотя роль важную она будет играть в последующих скриптах, но сгодится. И установить pip и pip3.

Установим-ка и запустим его:
Код:
https://github.com/XRetr0/DonAlerts_iDOR.git
pip3 install requests
python iDOR.py
Просмотрев сам пайтон-скрипт могу сказать, что это чертовски простой рандомайзер на две переменные с чеком доступности.. Мой интернет меня подвёл и отказался парсить, но у вас всё должно быть окей. Переходим к выводам.

Выводы

Это вообще что? Куда я попал и где мои деньги? Приватные аудиозаписи может прослушать каждый? Наверное, это 21 век такой, не мы. Не доверяйте ничего и никому, ведь оно вот с такой легкостью может вас скомпрометировать. Мало ли для чего могут использоваться эти материалы.. Переходим к следующему..

Шифр-злодей. Или, как посредством СИ и кода получить доступ к частным перепискам Whatsapp.

Трудно было с написанием этого раздела, некоторые скрипты выдавали такие Раафрамовские козни, что ночь не спал уж точно.

Вот вы, наверное и всего скорее, не ожидаете опасности от банальных вещей, которые влились в нашу жизнь бетоном. Казалось бы, он интегрировался во все сферы жизни: Наука, техника, маркетинг - это не полный список ещё того, где мы можем встретить этого хорошего плохиша.. Заведем мы песню о QRкоде и о возможностях, которые не использовал никто ещё.

А ведь верно, такую распространённую вещичку, как этот код, не могли рано или поздно начать использовать различного рода хацкеры в своих целях.. А ведь это гениально, человек привык к этому и угрозу вряд-ли распознает, ибо это шифр - вредительский, черт его дери, шифр..

Немного отойдём от самого кода и перейдём к потенциальным жертвам: устройствам, которые их читают - нашим мобильным телефонам и специальным сканерам, допустим в каком-то маркете.

В Iphone все достаточно просто: Вижу - открываю. Андроид поступает умнее: Вижу - показываю - открываю по соглашению. Сканер в маркете поступает совсем тупо: Вижу - считываю - умираю, если там какой-то вредительский пейлоад.

Снимок экрана_2020-03-27_00-26-39.png


Больше всего нас интересуют первый и третий способ, если мы преследуем цель кому-то навредить, давайте разберемся, как запихать в код небольшой пейлоадик, который может вызвать сбой системы. Для этого нам понадобится утилита с того же GitHub'a под названием QRGen.

Принцип работы достаточно простой, посредством питона мы кодируем выбранный нами пейлоад в QRcod. Есть так-же возможность написать свою полезную нагрузку через вордлист с последующим интегрированием, но в три ночи - это перебор.

Устанавливаем и запускаем:
Код:
git clone https://github.com/h0nus/QRGen
cd QRGen
pip3 install -r requirements.txt OR python3 -m pip install -r requirements.txt
python3 qrgen.py
Затем достаточно выбрать какой тип нагрузки нам нужен, я без особого разбирательства выбираю через команду -l третий тип и выглядит это, примерно так:
Код:
python3 qrgen.py -l 3
Снимок экрана_2020-03-27_00-40-39.png


В ответе мы видим, что были сгенерированны 75 полезных нагрузок в чём мы можем удостоверится, перейдя в корневую папку репозитория. Особых проблем при установке возникнуть не должно, разве лишь только с pip3, который стоит просто обновить или установить. А ведь это лишь только шутки... Ватсапп, держись.

Дело с метасплоитом в моих статьях мы уже имели и этот репозиторий очень похож по использованию на него. Рад приветствовать, это QRLjacker. Этот малыш может посредством использования кода может получить доступ к сессии whatsapp и полный контроль на ней естественно.

Снимок экрана_2020-03-27_00-42-31.png


Основная боль заключена в этом репозитории, пусть и есть подробнейшая инструкция по установке этого добра - не всё так просто. Для начала стоит обновить наш браузер до последней доступной версии, это очень важно, ибо при последующих тестах на локальной сети наш хост с кодом просто не запустится.
Код:
https://github.com/mozilla/geckodriver/releases
Далее следует скачать архивчик с этого сайта и распаковать его в корневую папку, дабы избежать лишней возни с указанием директории. Затем следует выполнить следующий перечень команд от лица суперпользователя:

Снимок экрана_2020-03-27_01-34-52.png

Код:
chmod +x geckodriver
sudo mv -f geckodriver /usr/local/share/geckodriver
sudo ln -s /usr/local/share/geckodriver /usr/local/bin/geckodriver
sudo ln -s /usr/local/share/geckodriver /usr/bin/geckodriver
Только после этого мы можем копировать сам репозиторий с Хаба:
Код:
git clone https://github.com/OWASP/QRLJacking
cd QRLJacking/QRLJacker
pip3 install -r requirements.txt
python3.7 QrlJacker.py --help
Снимок экрана_2020-03-27_01-00-15.png


Здесь прикреплю много скринов, какими методами альтернативными я пытался побороть беды с запуском, но только с десятого раза дошло, что нужно выполнять всё, дописывая везде python3.7.

Дальше идёт уже само использование и генерация, если вы всё смогли сделать верно, то вы большой молодец и для вас наработка уже не имеет такой ценности, ибо дальше всё просто. После запуска прописываем --help, дабы увидеть список доступных команд.

После этого быстренько выводим список доступных модулей : list , затем следует выбрать интересующий нас , он один да-да, посредством команды use grabber/whatsapp . Следует сделать за этим следующее: Узнаём какие опции настройки доступны для этого: options. Скорее всего первые два пункта не вызовут особого беспокойства, ибо это элементарно, Ватсон.

Снимок экрана_2020-03-27_01-36-07.png


О опции юзерагент подробнее немного расскажу, если предельно кратно, то это тип браузера всего-то. Обратившись к гуглу можем получить следующую информацию:
User agent — это клиентское приложение, использующее определённый сетевой протокол. Термин обычно используется для приложений, осуществляющих доступ к веб-сайтам, таким как браузеры, поисковые роботы (и другие «пауки»), мобильные телефоны и другие устройства.
Этот параметр мы трогать не станем, пусть себе будет дефолтным. Производим действия мы в локальной сети, поэтому айпи адрес не меняем, хотя в теории возможно выбросить трафик в сеть и тогда наше творение встретит глобального творца, сменим только порт на 8080, не знаю почему: set port 8080 . Затем запускаем это всё дело командой run.

Снимок экрана_2020-03-27_01-40-38.png


После переходим в наш браузер и вводим в адресную строку следующий текст:
http://0.0.0.0:8080 и переходим.

Перед нами, если вы правильно всё сделали и не допустили ошибок , которых было у меня уйма к слову, небольшой баннер с QRкодом по средине. Это лишь банальный пример , мы не настраивали ничего толком, не добавляли свой текст и информацию. К слову это можно адаптировать в виде банера с завлекающей надписью: "Отсканируйте код, через ватсапп и получи 10$ на счёт", но моя задача показать банальный механизм, а не обучить вас, как профессионалов...

Снимок экрана_2020-03-27_02-05-52.png



Качаем вотсапп, заходим в него, прежде пройдя авторизацию, тыкаем на настройки, затем на "Whatsapp web" и сканируем код. На телефоне ничего не происходит, а вот в терминале приходит оповещение о том, что мы получили сессию.

Screenshot_20200327-082943[1].jpeg


Прописываем sessions , чтобы понять сколько сессий у нас есть , точнее просмотреть их лист. После пишем sessionset и номер. Видим, что у нас открывается в браузере полноценное окно Whatsapp Web совершенно незнакомого пользователя.

Выводы

Это идеальный способ получить доступ к чему-либо или зашифровать ссылку на какой-нибудь сниффер. Люди считают QRкод безопасным, ибо он интегрирован везде и видим мы его каждый день, но даже рутинные вещи способны творить зло в руках того, кто по-истине этого хочет. Будьте внимательней, господа, не будьте столь наивными и не открывайте QR коды с незнакомых источников. Переходим дальше.

Наверное, и впредь обман - это вездесущее..

У людей есть небольшой недостаток: пытаются эти существа извлечь профит с любого возможного дела, даже путём обмана. Видели мы уже много всего, но это...

Тема будет затрагивать те же QRcodе'ы, что мы рассматривали в предыдущей подтеме, но теперь мы рассмотрим обман на ровном месте, без задействования каких-либо сложных схем внедрения в код какой-то полезной нагрузки или тому подобное. Мирный QRCOD и человек, который использует его в своих целях: будто сокращения ссылок или реклама своей компании.

Screenshot_2.png


Но человеку хочется немного отличатся от других, он хочет уникальный код, чтобы он был не таким, как у всех. Наш подопытный обращается на сайт, который якобы предоставляет услуги "ручного" рисования этих же кодов за деньги.. И там его уверяют, что код рисует не программа, а именно человек... Стоп. Это сплошной обман, коды никто не рисует руками, они используют бесплатную технологию и вещают лапшу обычным пользователям, извлекая с них профит... А чем они отличаются от обычных мошенников? Нет, хватит нас дурить на каждом шагу!

Давайте разберёмся, как можно сделать уникальный QRкод своими руками с помощью репозитория на гитхабе.. Это проще, чем может казаться..

Установим наш репозиторий( Но прежде стоит обновить полностью питон и pip3):

Снимок экрана_2020-03-27_10-20-57.png

Код:
sudo apt-get install python-imageio
git clone https://github.com/sylnsfar/qrcode.git
pip3 install myqr
Установили мы этот чудесный репозиторий, после следует запустить сам скрипт:
Код:
cd qrcode
python3 myqr.py
Этот скрипт хорош тем, что в нём можно создавать, как простые коды, так и цветные с картинкой и анимированные. Для начала давайте создадим простой код:
Код:
myqr http://vk.com/menshova99
Снимок экрана_2020-03-27_11-16-24.png


В ответе мы видим, что файл сохранён в такой-то дериктории , перейдя туда, мы можем в этом удостоверится. Но это не интересно ведь, простые коды - нет!
Давайте создадим код с нашей картинкой , для этого кидаем изображения в корневую папку репозитория и пишем следующее(параметр -с - отвечает за цвет), также можно настраивать размер ,яркость и контраст:
Код:
myqr http:\\menshova99 -p index.jpg  -c
Процесс создания анимированного кода не отличается ничего, кроме того, что нам нужно выбрать гиф изображения:
Код:
myqr http://vk.com/menshova99 -p tenor.gif  -c
tenor_qrcode.gif
index_qrcode.png


Основные выводы

Не давайте себя обмануть, друзья, а ведь это так просто. Теперь мы видим, что ничего не совершенно, ничего не безопасно и ничегошеньки не имеет дыр.. Будьте умнее. Всем спасибо, кто дочитал к этому моменту. Берегите себя и своих родных, непростые времена грядут. Рано или поздно самые хорошие и надёжные системы будут казаться нам смешными и думать мы будем: " Как я мог доверять такому?". Никто не знает, что будет завтра.. Держитесь. Статья написана во имя лучшего человека на Земле и во Вселенной, ты знаешь о ком речь.
 

explorer

Platinum
05.08.2018
1 080
2 470
BIT
0
Хорошая статья, но оформление хромает - увеличьте шрифт подзаголовков, задайте цвет, сделайте несколько скриншотов... и дело примет законченный вид.
 
  • Нравится
Реакции: Festeinfo, Tsuni и Ivanger

DeathDay

Green Team
18.04.2019
150
1 098
BIT
25
Хорошая статья, но оформление хромает - увеличьте шрифт подзаголовков, задайте цвет, сделайте несколько скриншотов... и дело примет законченный вид.
Ну, я тут редактирую как-бы.. Скриншотов было уйма и боялся, что интернет не вывезет, потому выгружал по 1-2.
 
  • Нравится
Реакции: Ivanger

Protonst

One Level
27.03.2020
1
1
BIT
0
Шикарно!
Сам я только прокачиваю скилы свои, поэтому такие статьи впечатляют! после прочтения мозг закипает от постоянной генерации идей с применением
 
  • Нравится
Реакции: DeathDay

yky

Green Team
31.12.2019
100
41
BIT
4
Описание работы скриптов с гитхаба вызывает такой настрой у народа o_O
Может я слишком стар и меня не чем не удивить, но пересказ работы нескольких скриптов это ....
 
  • Нравится
Реакции: codeOr, The3fon и DeathDay

asensetive

New member
04.10.2019
1
0
BIT
0
Это пересказ видео овера, которое вышло еще 18 октября 2019 года. Вот ссылка кстати на видео . Мог бы креды дать ему хотя бы. Но окей молодец, что изложил видео в текстовый формат, так удобнее даже.
 

dotru

Green Team
07.09.2019
36
2
BIT
3
Любой труд должен оплачиваться, сколько в тубе видосов как пользоваться фотошопом например.....хм есть документация, чего всё смотрят то ?
ТС красава!
 

☠xrahitel☠

Grey Team
09.12.2016
240
305
BIT
53
Это пересказ видео овера, которое вышло еще 18 октября 2019 года.
а при чем он тут он сам скопипастил так как оригинал был тут ещё в августе это что касается QRGen про QRLjacker так вообще баян начало 2019 года это оверу пора указывать источники а не *** школьных хаккиров
149706209.gif


смотрим оригинал видео


смотрим как овер себе вставил нарезки

 
  • Нравится
Реакции: batu5ai и fork
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!