• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Бесплатный ВЕБИНАР по OSINT с Екатериной Тьюринг: ➡️9 февраля в 19:00 (мск) пройдет урок

    Как безопасно искать информацию в открытых источниках

    🔥 Записаться 🔥

Как сделать чтобы человека "Выбросило" из аккаунта в вк

Sagain2

New member
30.04.2019
4
0
BIT
0
Ребят, только не бейте, я долб*** новичек.
У меня есть Kali Linux. У меня прямые (почти руки). У меня есть человек, находящийся со мной в локальной сети. Как сделать чтобы его "выбросило" из вк и он заново ввел свои данные?
 
Последнее редактирование:
Тут много вариантов, но все они сложны в реализации, так как разрабы ВК тоже не полные дурачки и в 201Х каком то году (уже точно не помню) вместо обычного редиректа на скрипт logout.php для выхода, добавили защиту от подобных деаутентификаций через запрос hash'a который дается при каждой сессии, соответственно не зная hash сессии пользователя ты не отдашь ему нужный редирект, а что бы его узнать необходимо перехватывать ssl трафик пользователя, возможно хеш есть и в куках (давно не проверял врать не буду), но перехват всех куков это равноценно подмене сертификата жертвы и перехвату всего ssl трафика, что по факту дает тебе и без логаута полный контроль над страницей пользователя.
Но судя по твоему вопросу это слишком сложная тактика)))

Поэтому попробуй покопать в сторону атаки самого устройства из локальной сети, если есть хоть какая то нормальная уязвимость то есть шансы.
 
Либо еще один простой но "глупый" вариант, провести старый добрый ssl strip и редиректнуть принудительно пользователя на HTTP (без ssl) вк, в таком случае у пользователя опять затребуют ввести логин и пароль, и если он очень глуп то он их введет еще раз уже в открытом виде, но тут следует учитывать что его сессия по защищенному соединению ssl никуда не пропадет и будет так же активна, и если у него открыта вкладка с вк по ssl то он скорее всего насторожится или вовсе не захочет ничего вводить в новой вкладке.
 
Тут много вариантов, но все они сложны в реализации, так как разрабы ВК тоже не полные дурачки и в 201Х каком то году (уже точно не помню) вместо обычного редиректа на скрипт logout.php для выхода, добавили защиту от подобных деаутентификаций через запрос hash'a который дается при каждой сессии, соответственно не зная hash сессии пользователя ты не отдашь ему нужный редирект, а что бы его узнать необходимо перехватывать ssl трафик пользователя, возможно хеш есть и в куках (давно не проверял врать не буду), но перехват всех куков это равноценно подмене сертификата жертвы и перехвату всего ssl трафика, что по факту дает тебе и без логаута полный контроль над страницей пользователя.
Но судя по твоему вопросу это слишком сложная тактика)))

Поэтому попробуй покопать в сторону атаки самого устройства из локальной сети, если есть хоть какая то нормальная уязвимость то есть шансы.
Нихрена не понял, но спасибо)
 
Либо еще один простой но "глупый" вариант, провести старый добрый ssl strip и редиректнуть принудительно пользователя на HTTP (без ssl) вк, в таком случае у пользователя опять затребуют ввести логин и пароль, и если он очень глуп то он их введет еще раз уже в открытом виде, но тут следует учитывать что его сессия по защищенному соединению ssl никуда не пропадет и будет так же активна, и если у него открыта вкладка с вк по ssl то он скорее всего насторожится или вовсе не захочет ничего вводить в новой вкладке.
ВК даст такое сделать? Редирект на HTTP? А если у юзера HTTPS принудительно стоит? (вроде дополнение такое есть даже на мозилу)
 
ВК даст такое сделать? Редирект на HTTP? А если у юзера HTTPS принудительно стоит? (вроде дополнение такое есть даже на мозилу)
ВК даст такое сделать только если Вы вместе с SSL Strip будете использовать MiTM с подменой трафика (например javascript inject) для редиректа с любой другой HTTP страницы на которую (возможно) полезет пользователь, в HTTP ВК, только в таком случае это сработает!
Тоесть по факту нам нужно выставить фильтрацию трафика (через какой нибудь Ваш прокси) с возможностью инъекции в трафик пользователя в режиме реального времени, по любым http запросам, таким образом что бы при посещении любого http ресурса пользователя редиректило на домен ВК, и если SSL Strip включен то все будет работать, хотя и SSL Strip тут даже не обязателен.

В дополнение хочу отметить что с приложением ВК на мобильных устройствах дела обстоят немного иначе.
 
в кали есть прога называется MITMf -а в ней есть плагин js-keylogger. Найди на гитхабе и прочти как использовать и будет тебе счастье.
 
в кали есть прога называется MITMf -а в ней есть плагин js-keylogger
jskeylogger также использует SSL Strip, и работает он также только в HTTP трафике, а не в HTTPS!
Да и к тому же ему все ровно нужно будет как то заставить пользователя перейти на домен ВК по HTTP, а то толку от jskeylogger'a никакого не будет если пользователь будет переходить в ВК через сохраненные закладки в браузере где ссылка имеет вид HTTPS, и точно так же не будет никакого толку если он перейдет в ВК через любой поисковик сессия к которому будет установлена через SSL!!!

Почему я говорил про скрипт редиректа, да потому что таким образом мы принудительно заставляем пользователя перейти на нужную нам страницу в браузере.

Самый толковый вариант заюзать modlishka, но с ней не просто будет разобраться.
 
jskeylogger также использует SSL Strip, и работает он также только в HTTP трафике, а не в HTTPS!
Да и к тому же ему все ровно нужно будет как то заставить пользователя перейти на домен ВК по HTTP, а то толку от jskeylogger'a никакого не будет если пользователь будет переходить в ВК через сохраненные закладки в браузере где ссылка имеет вид HTTPS, и точно так же не будет никакого толку если он перейдет в ВК через любой поисковик сессия к которому будет установлена через SSL!!!

Почему я говорил про скрипт редиректа, да потому что таким образом мы принудительно заставляем пользователя перейти на нужную нам страницу в браузере.

Самый толковый вариант заюзать modlishka, но с ней не просто будет разобраться.
Вот в этом я с огласен, я более простые варианты озвучивал. А насчет джиэскейлогера, насколько я помню, он вроде http сам подсовывает обновляя страницу, ну можетя я ошибаюсь.
 
А насчет джиэскейлогера, насколько я помню, он вроде http сам подсовывает обновляя страницу
все эти плагины и скрипты с инжектами используют старый метод ssl strip который возможен только в незашифрованные пакеты dns / http и тд.
 
все эти плагины и скрипты с инжектами используют старый метод ssl strip который возможен только в незашифрованные пакеты dns / http и тд.
Bettercap вроде сейчас что-то новое внедрил, но пока руки не дошли посмотреть что и как. Его весь переписали сейчас
 
Не, ну загрузили пацана! Я немножко разбираюсь в http и https, но и то не понял, о чём вы... скажите по-русски, а? Парень хочет решить проблему, а вы его тупо грузите, не хорошо...
 
Парень хочет решить проблему, а вы его тупо грузите, не хорошо...
Да ладно Вам мы же по фактам, что бы понимать в какую сторону копать, а если расписывать все подробно то тут на целую статью выйдет, а то и больше, всё таки такие вопросы лучше еще и самому погуглить что бы разобраться, потому что все эти методы уже давно описаны, мы как раз привели наиболее актуальные варианты, если будут возникать трудности в процессе, то пусть спрашивает можно обсуждать.
PS: при всем этом мы же не можем в деталях разложить и без того сотни и тысячи раз уже описаные реализации, есть поиск по форуму, куча других ресурсов, гугл накрайняк, давайте не будем забывать про то как искать и находить нужную инфу в сети.
 
ВК даст такое сделать только если Вы вместе с SSL Strip будете использовать MiTM с подменой трафика (например javascript inject) для редиректа с любой другой HTTP страницы на которую (возможно) полезет пользователь, в HTTP ВК, только в таком случае это сработает!
Тоесть по факту нам нужно выставить фильтрацию трафика (через какой нибудь Ваш прокси) с возможностью инъекции в трафик пользователя в режиме реального времени, по любым http запросам, таким образом что бы при посещении любого http ресурса пользователя редиректило на домен ВК, и если SSL Strip включен то все будет работать, хотя и SSL Strip тут даже не обязателен.

В дополнение хочу отметить что с приложением ВК на мобильных устройствах дела обстоят немного иначе.
А можно поподробнее про то, как обстоят дела с мобильными приложениями и какие есть векторы атак на них?
 
Вот!!! Теперь я понял! это так называемый "неизлечимый" случай. Беру все ранее свои написанные слова обратно. И, прошу прощения.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!