Статью эту я уже начинаю писать раз третий - не то... Прежде, чем я снова заброшу это, я хочу , чтобы ты, дорогой читатель, знал сколько времени мне пришлось потратить на сбор информации и тест всего ниже представленного на своей машине.. Около трёх дней, потерял я сноровку, давно не включал Kali - имеем, что имеем. Но я бы расценил это, как благо для тебя, читатель, ибо во время тестирования и проверки работоспособности возникали целая уйма проблем и ошибок, кстати , с которыми встретились бы вы, пытаясь использовать нижепредставленные скрипты. Ну, хватит затягивать, переходим к делу.
Не будем мы с вами открывать Америку и вновь: пойдёт дело о вещах общедоступных,но опасных в меру, о небольшой халатности и мошенничестве, которая ставит под угрозу вашу приватность и безопасность. Сегодня предлагаю я вам, достаточно увлекательный, тур по просторам GitHub'a.
Ветром попутным давайте обрисуем общую картину нашего путешествия, дабы исключить недовольных:
На самом деле я против зла и то, что я покажу вам далее может быть практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
Эту историю нужно начинать ещё с не очень далекого 2019 года, когда мною была написана статья о том, как наши приватные фотоматериалы, доверенные сомнительным ресурсам, попадают в руки злоумышленникам.
Тогда мы рассматривали это на примере двух популярных фотофалообменников: Imgur и LightShot, в которых банальным перебором чисел в ссылке мы могли получить доступ к абсолютно чужим фоточкам и делать с ними, что угодно нам.
Забавное то, что даже в пользовательском соглашении приложения не было ни слова о том, что по-факту, мы предоставляем свою конфиденциальную информацию на всеобщее обозрение. Это своего рода публичный хостинг картинок, но ведь ресурс о этом не оговорился ни словом, поэтому наивные пользователи сети начали выгружать на сервера всё, что только могли придумать: Интимные фото, сканы документов, переписки и всё-всё в этом духе. Злоумышленники ,не дураки они, поверь, этим начали активно пользоваться - кредиты, шантажи..
Так вот к чему же это я, на начале года сего, такой ресурс, как Donation Alerts, который , как я понял, предоставляет платёжные различного рода стримерам, ютуберам; дабы их фанаты могли отправлять что-то типа пожертвований любимому творцу; недавно эта платёжная система, хочу именно так её классифицировать, добавила возможность отправки голосовых донатов.
И тут что-то меня накрыло дежавью, создав два аккаунта на этом сервисе, я отправил себе же один рубль с голосовым сообщения, этой манипуляцией я получил готовое голосовое сообщение на аккаунте получателя, после кликнув правой клавишей мыши , заходим в код элемента , ищем ссылку на запись, переходим по ней... У нас теперь открыта новая вкладка браузера в которой есть только черный фон и плеер.
Переходим в адресную строку и начинаем банальный подбор - раз, два, три - это успех. Третий раз принёс нам абсолютно чужое сообщения для другого человека и мы можем его слушать... Интересно, приватные записи донатов оказались в публичном доступе..
Просто сидеть и подбирать нужное число - это, конечно, весьма весело, но не практично и не красиво. Господа-умельцы с Гитхаба написали скрипт на Python для автоматического парсинга этих сообщений..
Перед использованием советую проверить и обновить версию Python, хотя роль важную она будет играть в последующих скриптах, но сгодится. И установить pip и pip3.
Установим-ка и запустим его:
Просмотрев сам пайтон-скрипт могу сказать, что это чертовски простой рандомайзер на две переменные с чеком доступности.. Мой интернет меня подвёл и отказался парсить, но у вас всё должно быть окей. Переходим к выводам.
Это вообще что? Куда я попал и где мои деньги? Приватные аудиозаписи может прослушать каждый? Наверное, это 21 век такой, не мы. Не доверяйте ничего и никому, ведь оно вот с такой легкостью может вас скомпрометировать. Мало ли для чего могут использоваться эти материалы.. Переходим к следующему..
Трудно было с написанием этого раздела, некоторые скрипты выдавали такие Раафрамовские козни, что ночь не спал уж точно.
Вот вы, наверное и всего скорее, не ожидаете опасности от банальных вещей, которые влились в нашу жизнь бетоном. Казалось бы, он интегрировался во все сферы жизни: Наука, техника, маркетинг - это не полный список ещё того, где мы можем встретить этого хорошего плохиша.. Заведем мы песню о QRкоде и о возможностях, которые не использовал никто ещё.
А ведь верно, такую распространённую вещичку, как этот код, не могли рано или поздно начать использовать различного рода хацкеры в своих целях.. А ведь это гениально, человек привык к этому и угрозу вряд-ли распознает, ибо это шифр - вредительский, черт его дери, шифр..
Немного отойдём от самого кода и перейдём к потенциальным жертвам: устройствам, которые их читают - нашим мобильным телефонам и специальным сканерам, допустим в каком-то маркете.
В Iphone все достаточно просто: Вижу - открываю. Андроид поступает умнее: Вижу - показываю - открываю по соглашению. Сканер в маркете поступает совсем тупо: Вижу - считываю - умираю, если там какой-то вредительский пейлоад.
Больше всего нас интересуют первый и третий способ, если мы преследуем цель кому-то навредить, давайте разберемся, как запихать в код небольшой пейлоадик, который может вызвать сбой системы. Для этого нам понадобится утилита с того же GitHub'a под названием QRGen.
Принцип работы достаточно простой, посредством питона мы кодируем выбранный нами пейлоад в QRcod. Есть так-же возможность написать свою полезную нагрузку через вордлист с последующим интегрированием, но в три ночи - это перебор.
Устанавливаем и запускаем:
Затем достаточно выбрать какой тип нагрузки нам нужен, я без особого разбирательства выбираю через команду -l третий тип и выглядит это, примерно так:
В ответе мы видим, что были сгенерированны 75 полезных нагрузок в чём мы можем удостоверится, перейдя в корневую папку репозитория. Особых проблем при установке возникнуть не должно, разве лишь только с pip3, который стоит просто обновить или установить. А ведь это лишь только шутки... Ватсапп, держись.
Дело с метасплоитом в моих статьях мы уже имели и этот репозиторий очень похож по использованию на него. Рад приветствовать, это QRLjacker. Этот малыш может посредством использования кода может получить доступ к сессии whatsapp и полный контроль на ней естественно.
Основная боль заключена в этом репозитории, пусть и есть подробнейшая инструкция по установке этого добра - не всё так просто. Для начала стоит обновить наш браузер до последней доступной версии, это очень важно, ибо при последующих тестах на локальной сети наш хост с кодом просто не запустится.
Далее следует скачать архивчик с этого сайта и распаковать его в корневую папку, дабы избежать лишней возни с указанием директории. Затем следует выполнить следующий перечень команд от лица суперпользователя:
Только после этого мы можем копировать сам репозиторий с Хаба:
Здесь прикреплю много скринов, какими методами альтернативными я пытался побороть беды с запуском, но только с десятого раза дошло, что нужно выполнять всё, дописывая везде python3.7.
Дальше идёт уже само использование и генерация, если вы всё смогли сделать верно, то вы большой молодец и для вас наработка уже не имеет такой ценности, ибо дальше всё просто. После запуска прописываем
После этого быстренько выводим список доступных модулей :
О опции юзерагент подробнее немного расскажу, если предельно кратно, то это тип браузера всего-то. Обратившись к гуглу можем получить следующую информацию:
После переходим в наш браузер и вводим в адресную строку следующий текст:
Перед нами, если вы правильно всё сделали и не допустили ошибок , которых было у меня уйма к слову, небольшой баннер с QRкодом по средине. Это лишь банальный пример , мы не настраивали ничего толком, не добавляли свой текст и информацию. К слову это можно адаптировать в виде банера с завлекающей надписью: "Отсканируйте код, через ватсапп и получи 10$ на счёт", но моя задача показать банальный механизм, а не обучить вас, как профессионалов...
Качаем вотсапп, заходим в него, прежде пройдя авторизацию, тыкаем на настройки, затем на "Whatsapp web" и сканируем код. На телефоне ничего не происходит, а вот в терминале приходит оповещение о том, что мы получили сессию.
![Screenshot_20200327-082943[1].jpeg](data:image/svg+xml;charset=utf-8,%3Csvg xmlns%3D'http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg' width='720' height='1280' viewBox%3D'0 0 720 1280'%2F%3E "Screenshot_20200327-082943[1].jpeg")
Прописываем
Это идеальный способ получить доступ к чему-либо или зашифровать ссылку на какой-нибудь сниффер. Люди считают QRкод безопасным, ибо он интегрирован везде и видим мы его каждый день, но даже рутинные вещи способны творить зло в руках того, кто по-истине этого хочет. Будьте внимательней, господа, не будьте столь наивными и не открывайте QR коды с незнакомых источников. Переходим дальше.
У людей есть небольшой недостаток: пытаются эти существа извлечь профит с любого возможного дела, даже путём обмана. Видели мы уже много всего, но это...
Тема будет затрагивать те же QRcodе'ы, что мы рассматривали в предыдущей подтеме, но теперь мы рассмотрим обман на ровном месте, без задействования каких-либо сложных схем внедрения в код какой-то полезной нагрузки или тому подобное. Мирный QRCOD и человек, который использует его в своих целях: будто сокращения ссылок или реклама своей компании.
Но человеку хочется немного отличатся от других, он хочет уникальный код, чтобы он был не таким, как у всех. Наш подопытный обращается на сайт, который якобы предоставляет услуги "ручного" рисования этих же кодов за деньги.. И там его уверяют, что код рисует не программа, а именно человек... Стоп. Это сплошной обман, коды никто не рисует руками, они используют бесплатную технологию и вещают лапшу обычным пользователям, извлекая с них профит... А чем они отличаются от обычных мошенников? Нет, хватит нас дурить на каждом шагу!
Давайте разберёмся, как можно сделать уникальный QRкод своими руками с помощью репозитория на гитхабе.. Это проще, чем может казаться..
Установим наш репозиторий( Но прежде стоит обновить полностью питон и pip3):
Установили мы этот чудесный репозиторий, после следует запустить сам скрипт:
Этот скрипт хорош тем, что в нём можно создавать, как простые коды, так и цветные с картинкой и анимированные. Для начала давайте создадим простой код:
В ответе мы видим, что файл сохранён в такой-то дериктории , перейдя туда, мы можем в этом удостоверится. Но это не интересно ведь, простые коды - нет!
Давайте создадим код с нашей картинкой , для этого кидаем изображения в корневую папку репозитория и пишем следующее(параметр -с - отвечает за цвет), также можно настраивать размер ,яркость и контраст:
Процесс создания анимированного кода не отличается ничего, кроме того, что нам нужно выбрать гиф изображения:
Не давайте себя обмануть, друзья, а ведь это так просто. Теперь мы видим, что ничего не совершенно, ничего не безопасно и ничегошеньки не имеет дыр.. Будьте умнее. Всем спасибо, кто дочитал к этому моменту. Берегите себя и своих родных, непростые времена грядут. Рано или поздно самые хорошие и надёжные системы будут казаться нам смешными и думать мы будем: " Как я мог доверять такому?". Никто не знает, что будет завтра.. Держитесь. Статья написана во имя лучшего человека на Земле и во Вселенной, ты знаешь о ком речь.
Заглавие
Не будем мы с вами открывать Америку и вновь: пойдёт дело о вещах общедоступных,но опасных в меру, о небольшой халатности и мошенничестве, которая ставит под угрозу вашу приватность и безопасность. Сегодня предлагаю я вам, достаточно увлекательный, тур по просторам GitHub'a.
Ветром попутным давайте обрисуем общую картину нашего путешествия, дабы исключить недовольных:
- История о Donation Alerts. Или как платёжная система опустилась к уровню LightShot и коллег-бандитов.
- Шифр-злодей. Или, как посредством СИ получить доступ к частным перепискам Whatsapp.
- Наверное, и впредь обман - это вездесущее..
Ловите Дисклеймер и погнали..
На самом деле я против зла и то, что я покажу вам далее может быть практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект - это знания.
История о Donation Alerts. Или как платёжная система опустилась к уровню LightShot и коллег-бандитов его.
Эту историю нужно начинать ещё с не очень далекого 2019 года, когда мною была написана статья о том, как наши приватные фотоматериалы, доверенные сомнительным ресурсам, попадают в руки злоумышленникам.
Тогда мы рассматривали это на примере двух популярных фотофалообменников: Imgur и LightShot, в которых банальным перебором чисел в ссылке мы могли получить доступ к абсолютно чужим фоточкам и делать с ними, что угодно нам.
Забавное то, что даже в пользовательском соглашении приложения не было ни слова о том, что по-факту, мы предоставляем свою конфиденциальную информацию на всеобщее обозрение. Это своего рода публичный хостинг картинок, но ведь ресурс о этом не оговорился ни словом, поэтому наивные пользователи сети начали выгружать на сервера всё, что только могли придумать: Интимные фото, сканы документов, переписки и всё-всё в этом духе. Злоумышленники ,не дураки они, поверь, этим начали активно пользоваться - кредиты, шантажи..
Так вот к чему же это я, на начале года сего, такой ресурс, как Donation Alerts, который , как я понял, предоставляет платёжные различного рода стримерам, ютуберам; дабы их фанаты могли отправлять что-то типа пожертвований любимому творцу; недавно эта платёжная система, хочу именно так её классифицировать, добавила возможность отправки голосовых донатов.
И тут что-то меня накрыло дежавью, создав два аккаунта на этом сервисе, я отправил себе же один рубль с голосовым сообщения, этой манипуляцией я получил готовое голосовое сообщение на аккаунте получателя, после кликнув правой клавишей мыши , заходим в код элемента , ищем ссылку на запись, переходим по ней... У нас теперь открыта новая вкладка браузера в которой есть только черный фон и плеер.
Переходим в адресную строку и начинаем банальный подбор - раз, два, три - это успех. Третий раз принёс нам абсолютно чужое сообщения для другого человека и мы можем его слушать... Интересно, приватные записи донатов оказались в публичном доступе..
Просто сидеть и подбирать нужное число - это, конечно, весьма весело, но не практично и не красиво. Господа-умельцы с Гитхаба написали скрипт на Python для автоматического парсинга этих сообщений..
Перед использованием советую проверить и обновить версию Python, хотя роль важную она будет играть в последующих скриптах, но сгодится. И установить pip и pip3.
Установим-ка и запустим его:
Код:
https://github.com/XRetr0/DonAlerts_iDOR.git
pip3 install requests
python iDOR.pyВыводы
Это вообще что? Куда я попал и где мои деньги? Приватные аудиозаписи может прослушать каждый? Наверное, это 21 век такой, не мы. Не доверяйте ничего и никому, ведь оно вот с такой легкостью может вас скомпрометировать. Мало ли для чего могут использоваться эти материалы.. Переходим к следующему..
Шифр-злодей. Или, как посредством СИ и кода получить доступ к частным перепискам Whatsapp.
Трудно было с написанием этого раздела, некоторые скрипты выдавали такие Раафрамовские козни, что ночь не спал уж точно.
Вот вы, наверное и всего скорее, не ожидаете опасности от банальных вещей, которые влились в нашу жизнь бетоном. Казалось бы, он интегрировался во все сферы жизни: Наука, техника, маркетинг - это не полный список ещё того, где мы можем встретить этого хорошего плохиша.. Заведем мы песню о QRкоде и о возможностях, которые не использовал никто ещё.
А ведь верно, такую распространённую вещичку, как этот код, не могли рано или поздно начать использовать различного рода хацкеры в своих целях.. А ведь это гениально, человек привык к этому и угрозу вряд-ли распознает, ибо это шифр - вредительский, черт его дери, шифр..
Немного отойдём от самого кода и перейдём к потенциальным жертвам: устройствам, которые их читают - нашим мобильным телефонам и специальным сканерам, допустим в каком-то маркете.
В Iphone все достаточно просто: Вижу - открываю. Андроид поступает умнее: Вижу - показываю - открываю по соглашению. Сканер в маркете поступает совсем тупо: Вижу - считываю - умираю, если там какой-то вредительский пейлоад.
Больше всего нас интересуют первый и третий способ, если мы преследуем цель кому-то навредить, давайте разберемся, как запихать в код небольшой пейлоадик, который может вызвать сбой системы. Для этого нам понадобится утилита с того же GitHub'a под названием QRGen.
Принцип работы достаточно простой, посредством питона мы кодируем выбранный нами пейлоад в QRcod. Есть так-же возможность написать свою полезную нагрузку через вордлист с последующим интегрированием, но в три ночи - это перебор.
Устанавливаем и запускаем:
Код:
git clone https://github.com/h0nus/QRGen
cd QRGen
pip3 install -r requirements.txt OR python3 -m pip install -r requirements.txt
python3 qrgen.py
Код:
python3 qrgen.py -l 3В ответе мы видим, что были сгенерированны 75 полезных нагрузок в чём мы можем удостоверится, перейдя в корневую папку репозитория. Особых проблем при установке возникнуть не должно, разве лишь только с pip3, который стоит просто обновить или установить. А ведь это лишь только шутки... Ватсапп, держись.
Дело с метасплоитом в моих статьях мы уже имели и этот репозиторий очень похож по использованию на него. Рад приветствовать, это QRLjacker. Этот малыш может посредством использования кода может получить доступ к сессии whatsapp и полный контроль на ней естественно.
Основная боль заключена в этом репозитории, пусть и есть подробнейшая инструкция по установке этого добра - не всё так просто. Для начала стоит обновить наш браузер до последней доступной версии, это очень важно, ибо при последующих тестах на локальной сети наш хост с кодом просто не запустится.
Код:
https://github.com/mozilla/geckodriver/releases
Код:
chmod +x geckodriver
sudo mv -f geckodriver /usr/local/share/geckodriver
sudo ln -s /usr/local/share/geckodriver /usr/local/bin/geckodriver
sudo ln -s /usr/local/share/geckodriver /usr/bin/geckodriver
Код:
git clone https://github.com/OWASP/QRLJacking
cd QRLJacking/QRLJacker
pip3 install -r requirements.txt
python3.7 QrlJacker.py --helpЗдесь прикреплю много скринов, какими методами альтернативными я пытался побороть беды с запуском, но только с десятого раза дошло, что нужно выполнять всё, дописывая везде python3.7.
Дальше идёт уже само использование и генерация, если вы всё смогли сделать верно, то вы большой молодец и для вас наработка уже не имеет такой ценности, ибо дальше всё просто. После запуска прописываем
--help, дабы увидеть список доступных команд.После этого быстренько выводим список доступных модулей :
list , затем следует выбрать интересующий нас , он один да-да, посредством команды use grabber/whatsapp . Следует сделать за этим следующее: Узнаём какие опции настройки доступны для этого: options. Скорее всего первые два пункта не вызовут особого беспокойства, ибо это элементарно, Ватсон.
О опции юзерагент подробнее немного расскажу, если предельно кратно, то это тип браузера всего-то. Обратившись к гуглу можем получить следующую информацию:
Этот параметр мы трогать не станем, пусть себе будет дефолтным. Производим действия мы в локальной сети, поэтому айпи адрес не меняем, хотя в теории возможно выбросить трафик в сеть и тогда наше творение встретит глобального творца, сменим только порт на
8080, не знаю почему: set port 8080 . Затем запускаем это всё дело командой run.
После переходим в наш браузер и вводим в адресную строку следующий текст:
http://0.0.0.0:8080 и переходим.Перед нами, если вы правильно всё сделали и не допустили ошибок , которых было у меня уйма к слову, небольшой баннер с QRкодом по средине. Это лишь банальный пример , мы не настраивали ничего толком, не добавляли свой текст и информацию. К слову это можно адаптировать в виде банера с завлекающей надписью: "Отсканируйте код, через ватсапп и получи 10$ на счёт", но моя задача показать банальный механизм, а не обучить вас, как профессионалов...
Качаем вотсапп, заходим в него, прежде пройдя авторизацию, тыкаем на настройки, затем на "Whatsapp web" и сканируем код. На телефоне ничего не происходит, а вот в терминале приходит оповещение о том, что мы получили сессию.
Прописываем
sessions , чтобы понять сколько сессий у нас есть , точнее просмотреть их лист. После пишем sessionset и номер. Видим, что у нас открывается в браузере полноценное окно Whatsapp Web совершенно незнакомого пользователя. Выводы
Это идеальный способ получить доступ к чему-либо или зашифровать ссылку на какой-нибудь сниффер. Люди считают QRкод безопасным, ибо он интегрирован везде и видим мы его каждый день, но даже рутинные вещи способны творить зло в руках того, кто по-истине этого хочет. Будьте внимательней, господа, не будьте столь наивными и не открывайте QR коды с незнакомых источников. Переходим дальше.
Наверное, и впредь обман - это вездесущее..
У людей есть небольшой недостаток: пытаются эти существа извлечь профит с любого возможного дела, даже путём обмана. Видели мы уже много всего, но это...
Тема будет затрагивать те же QRcodе'ы, что мы рассматривали в предыдущей подтеме, но теперь мы рассмотрим обман на ровном месте, без задействования каких-либо сложных схем внедрения в код какой-то полезной нагрузки или тому подобное. Мирный QRCOD и человек, который использует его в своих целях: будто сокращения ссылок или реклама своей компании.
Но человеку хочется немного отличатся от других, он хочет уникальный код, чтобы он был не таким, как у всех. Наш подопытный обращается на сайт, который якобы предоставляет услуги "ручного" рисования этих же кодов за деньги.. И там его уверяют, что код рисует не программа, а именно человек... Стоп. Это сплошной обман, коды никто не рисует руками, они используют бесплатную технологию и вещают лапшу обычным пользователям, извлекая с них профит... А чем они отличаются от обычных мошенников? Нет, хватит нас дурить на каждом шагу!
Давайте разберёмся, как можно сделать уникальный QRкод своими руками с помощью репозитория на гитхабе.. Это проще, чем может казаться..
Установим наш репозиторий( Но прежде стоит обновить полностью питон и pip3):
Код:
sudo apt-get install python-imageio
git clone https://github.com/sylnsfar/qrcode.git
pip3 install myqr
Код:
cd qrcode
python3 myqr.py
Код:
myqr http://vk.com/menshova99В ответе мы видим, что файл сохранён в такой-то дериктории , перейдя туда, мы можем в этом удостоверится. Но это не интересно ведь, простые коды - нет!
Давайте создадим код с нашей картинкой , для этого кидаем изображения в корневую папку репозитория и пишем следующее(параметр -с - отвечает за цвет), также можно настраивать размер ,яркость и контраст:
Код:
myqr http:\\menshova99 -p index.jpg -c
Код:
myqr http://vk.com/menshova99 -p tenor.gif -c
Основные выводы
Не давайте себя обмануть, друзья, а ведь это так просто. Теперь мы видим, что ничего не совершенно, ничего не безопасно и ничегошеньки не имеет дыр.. Будьте умнее. Всем спасибо, кто дочитал к этому моменту. Берегите себя и своих родных, непростые времена грядут. Рано или поздно самые хорошие и надёжные системы будут казаться нам смешными и думать мы будем: " Как я мог доверять такому?". Никто не знает, что будет завтра.. Держитесь. Статья написана во имя лучшего человека на Земле и во Вселенной, ты знаешь о ком речь.
