фишинг на практике

Rook · 07.09.2020

Доброго всем дня. Хочу по практиковаться в фишинге в реальном времени. Хочу создать копию сайта,отправив 'жертве' что бы она перешла по ссылке и авторизовалась в ней,а я в это время получил все данные логина и пароля и тд.
Так вот,с чего лучше начать ? Metasploit?
Так ещё вопрос,если слушать буду на 1 айпи,а жертва будет совершенно с другого айпи,она сможет подключится к моему сервере? Или на роутере тоже нужно будет пробрасывать порты и у провайдера покупать реалку?

ghostphisher · 07.09.2020

Rook сказал(а):
Доброго всем дня. Хочу по практиковаться в фишинге в реальном времени

Доброго времени!

1) начать можно с простого - SETOOLKIT , там за 1 минуту можно сделать клон
2) если запускать на своей системе, то либо использовтаь ngrock либо прописать порты в роутере.

Rook · 07.09.2020

ghostphisher сказал(а):
Доброго времени!

1) начать можно с простого - SETOOLKIT , там за 1 минуту можно сделать клон
2) если запускать на своей системе, то либо использовтаь ngrock либо прописать порты в роутере.

А подскажи пожалуйста,где хранятся репорты setoolkit?
А то просто в руте не могу найти

ghostphisher сказал(а):
Доброго времени!

1) начать можно с простого - SETOOLKIT , там за 1 минуту можно сделать клон
2) если запускать на своей системе, то либо использовтаь ngrock либо прописать порты в роутере.

Понял принцип, но заметил что он еще ловит всю инфу с которого заходили, типа сессии и тд
По этим данным так же можно зайти в пойманный ресурс ?
или то просто информация и ее нельзя использовать ?

ghostphisher · 07.09.2020

Rook сказал(а):
Понял принцип, но заметил что он еще ловит всю инфу с которого заходили, типа сессии и тд
По этим данным так же можно зайти в пойманный ресурс ?
или то просто информация и ее нельзя использовать ?

1) войти можно по паре логин и пароль, есть нет 2FA
2) есть фишинг, который ворует и куки, тогда можно их подставить и войти

Rook · 07.09.2020

ghostphisher сказал(а):
1) войти можно по паре логин и пароль, есть нет 2FA
2) есть фишинг, который ворует и куки, тогда можно их подставить и войти

Для двухфакторки лучше модлишку или evilgnx юзать?

ghostphisher · 07.09.2020

Rook сказал(а):
Для двухфакторки лучше модлишку или evilgnx юзать?

так 2FA это большей частью смс или собщения в клиент тут не модли или эвилом. Тут скорее верно про угон сессии говорить, что бы не было запроса на вход через 2FA, а угон чем удобнее будет, конкретно рекомендовать не корректно.

Rook · 07.09.2020

ghostphisher сказал(а):
так 2FA это большей частью смс или собщения в клиент тут не модли или эвилом. Тут скорее верно про угон сессии говорить, что бы не было запроса на вход через 2FA, а угон чем удобнее будет, конкретно рекомендовать не корректно.

ну я за то что SET во время того как запущен был, когда через декстоп заходил, было уведомление о том что просто зашло, а когда через мобильное приложение, он увидел как бы автоматический логин, хз как правильно это назвать, больше на вывод куки был похож, вопрос в том, что SET мог угнать в таком случае токен сессии?

ghostphisher · 07.09.2020

Rook сказал(а):
SET мог угнать в таком случае токен сессии?

Нет, это не так работает. там было отпечаток клиента, грубо говоря когда заходим браузером, то видим каким, а тут клиент. Это очень грубое сравнение, но наиболее точное.

Rook · 07.09.2020

ghostphisher сказал(а):
Нет, это не так работает. там было отпечаток клиента, грубо говоря когда заходим браузером, то видим каким, а тут клиент. Это очень грубое сравнение, но наиболее точное.

Все теперь понятно, спасибо

Все сервисы Codeby

Поиск

Поиск

фишинг на практике

Rook

Codeby Team

ghostphisher

местный

Rook

Codeby Team

ghostphisher

местный

Rook

Codeby Team

ghostphisher

местный

Rook

Codeby Team

ghostphisher

местный

Rook

Codeby Team