• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Soft Seeker - Узнаем местоположение с высокой точностью.

Screenshot from 2018-07-19 22-11-19.png
Всем привет. Представляю вам скрипт "Seeker".
Разработчик -== thewhiteh4t
Страница разработчика -== thewhiteh4t/seeker

Seeker - Скрипт для поиска местоположения человека. Посредством перехода по ссылки , также используется ngrok.
Seeker использует HTML5, Javascript, JQuery и PHP для захвата информации об устройстве и геолокации с высокой точностью.
Точность полученной информации точна примерно до 30 метров.
Внимание!
  1. На iPhone по какой-то причине точность местоположения составляет около 65 метров.
  2. Так как на территории России сервисы ngrok и serveo заблокированы, то ссылку получить вы ни как не сможете. Одно из самых простых решений описано здесь.
Он размещает поддельный веб-сайт на Apache Server и использует Ngrok , которая запрашивает разрешение на размещение, и если пользователь ее разрешает, мы можем получить:
Долгота.
Широта.
Точность.
Высота - не всегда доступна.
Направление - доступно только в том случае, если пользователь движется.
Скорость - доступна только в том случае, если пользователь движется.

Наряду с информацией о местоположении мы также можем получить информацию об устройстве без каких-либо разрешений:
Операционная система.
Платформа.
Количество ядер процессора.
Объем оперативной памяти - приблизительные результаты.
Разрешение экрана.
Информация о GPU.
Имя и версия браузера.
Открытый IP-адрес.
Код:
Установка и запуск.
git clone https://github.com/thewhiteh4t/seeker.git
cd seeker/
chmod 777 install.sh
./install.sh

Код:
Запуск - python seeker.py
Screenshot from 2018-07-19 22-26-01.png
Жертва переходит по сгенерированной ссылке и разрешает доступ к геолокации.
И увидим его местоположение.
Сразу можно открыть google map.
Screenshot from 2018-07-19 22-28-59.png
Screenshot from 2018-07-19 22-29-10.png
Спасибо за внимание.
 

Al Pro

New member
15.03.2019
2
0
BIT
0
После установки не нужно каждый раз запускать так
Код:
python seeker.py
Достаточно просто прописать
Код:
seeker
При переходе на сайт, открывается страница, якобы ты ищешь кого-то в близости, а браузер запрашивает доступ к геолокации. Очень полезный скрипт) определил с точностью в 10 м
выходит такая ошибка
Код:
Traceback (most recent call last):
  File "seeker.py", line 197, in <module>
    serveo()
  File "seeker.py", line 78, in serveo
    with open ('/tmp/serveo.txt', 'w') as tmpfile:
FileNotFoundError: [Errno 2] No such file or directory: '/tmp/serveo.txt'
$
выходит такое фигня
 

Bron Frol

Green Team
23.03.2019
53
74
BIT
4
У меня одного всё стопарится на этом?)
28338


При том, предыдущая версия работала исправно. После замены жесткого диска и, как следствие, установки по новой кали, скачал свежий "seeker".

Установка прошла успешно, разрешения дал. Кто-нибудь сталкивался?


____________________________________________________________________________
UPD: Проблема оказалась в том, что сервер Serveo.net лежит)

Может, у кого-нибудь остался старый seeker, работающий через ngrok
 
Последнее редактирование:
N

NNullday

выходит такая ошибка
Код:
Traceback (most recent call last):
  File "seeker.py", line 197, in <module>
    serveo()
  File "seeker.py", line 78, in serveo
    with open ('/tmp/serveo.txt', 'w') as tmpfile:
FileNotFoundError: [Errno 2] No such file or directory: '/tmp/serveo.txt'
$
выходит такое фигня
Из ошибки видно что нет файл в папке /tmp
 

N1GGA

Codeby Team
Platinum
16.07.2018
326
331
BIT
184
выходит такая ошибка
Код:
Traceback (most recent call last):
  File "seeker.py", line 197, in <module>
    serveo()
  File "seeker.py", line 78, in serveo
    with open ('/tmp/serveo.txt', 'w') as tmpfile:
FileNotFoundError: [Errno 2] No such file or directory: '/tmp/serveo.txt'
$
выходит такое фигня
Попробуй полностью переустановить утилиту.
 

konstan

One Level
13.02.2019
9
1
BIT
0
Как я понимаю Serveo.net был заблокирован, поэтому
У меня одного всё стопарится на этом?)
Посмотреть вложение 28338

При том, предыдущая версия работала исправно. После замены жесткого диска и, как следствие, установки по новой кали, скачал свежий "seeker".

Установка прошла успешно, разрешения дал. Кто-нибудь сталкивался?


____________________________________________________________________________
UPD: Проблема оказалась в том, что сервер Serveo.net лежит)

Может, у кого-нибудь остался старый seeker, работающий через ngrok


Как я понимаю Serveo.net был заблокирован поэтому Seeker не может с ним связаться, через Tor их сайт открывается.
 
  • Нравится
Реакции: ghostphisher

Bron Frol

Green Team
23.03.2019
53
74
BIT
4
Как я понимаю Serveo.net был заблокирован, поэтому



Как я понимаю Serveo.net был заблокирован поэтому Seeker не может с ним связаться, через Tor их сайт открывается.
Да, абсолютно правильно.

Оказалось, что на такие случаи гораздо выгоднее поднять свой туннель до открытого сервера (так сказать, аналог ngrok)

Если людям интересно -- могу написать статью, как это всё делается
 
K

kol1982

через сотовую связь не открывается, через провайдера без проблем
 
M

Matvi

Да, абсолютно правильно.

Оказалось, что на такие случаи гораздо выгоднее поднять свой туннель до открытого сервера (так сказать, аналог ngrok)

Если людям интересно -- могу написать статью, как это всё делается
И как же это делается?)
 

B-Rabbit

Green Team
09.05.2019
23
1
BIT
0
Где тут ссылка?
 

Вложения

  • Screenshot_20190510-003531.png
    Screenshot_20190510-003531.png
    18,5 КБ · Просмотры: 715
P

Profiren

Что делать если когда я запускаю seeker.py у меня все запускается, но останавливается и пишет Getting Serveo URL. Дальше ни чего не происходит.
 

konstan

One Level
13.02.2019
9
1
BIT
0
Как я выше писал, serveo.net заблокирован многими провайдерами, используй vpn. Я запускал c proxychains4.
 

booms1

Green Team
18.08.2018
19
1
BIT
0
Да, абсолютно правильно.

Оказалось, что на такие случаи гораздо выгоднее поднять свой туннель до открытого сервера (так сказать, аналог ngrok)

Если людям интересно -- могу написать статью, как это всё делается
Ждём статью :v
 
  • Нравится
Реакции: xxx Flex
H

hipp0gryph

"Делай добро, бро и бросай его в небо" Строчка из песни не самой лучшей группы)))
Итак, Bron Frol, очень тянешь со статьей) Мне она была нужна как никогда. Но ты нас бросил))) Пока он там думает, я напишу о своей реализации этой замечательной штучки) Читайте внимательно, если хотите понять, что и как произошло.
Предыстория:
Итак, мне нужно было вычислить местонахождение одного человека падкого на интим фото маленьких девочек. Я решил реализовать фейк файлообменника. То есть нужно было изменить страницу и собственно включить туда работу скрипта. Но как и все я столкнулся с бедой, что ngrok и serveo не работают в России. Что же это такое? Это сервисы, которые позволяют выставить сайт с Вашего локального сервера на временный общедоступный сервер для тестов. Поэтому их нужно всего навсего заменить. Но это требует замен в коде. Я задавал вопросы на github'e, но получил не те ответы, что ожидал))) Главная магия кроется не в файле seeker.py, а в скриптах сайта папки template. Какое же решение я выдумал? Я решил просто взять скрипты и применить их на свой сайт. Как же сделать так же или просто заставить работать стандартный сайт NearYou? Делайте все по шагам)
Что понадобится:
Notepad++ (это программка редактор для файлов разного типа)
Самая обыкновенная винда)))
Реализация 1 (самая простая):
1. Скачиваем самый последний seeker с github.
2. Открываем скаченное, достаем папку nearyou из папки template, а остальное удаляем.
3. Заходим в папку nearyou/php/ правой кнопкой мыши по файлу info.php и выбираем edit with Notepad++ (редактировать с помощью Notepad++). Находим строчку $f = fopen('info.txt', 'w+'); и меняем её на $f = fopen('info.txt', 'a+'); после чего сохраняем Ctrl+S.
4. То же самое проделываем с файлом result.php. Файл error.php не трогаем.
5. Теперь это все нужно расположить на хостинге (площадка для сайтов). Хостинг дело платное, но я расскажу о способе заполучить его на месяц бесплатно без всякой рекламы. Регистрируемся на и пока откладываем аккаунт в сторону. Сервис платный, но с постоплатой, чем мы халявщики и пользуемся :D . Сайт просто отключат, если Вы не заплатите в конце месяца. (очень надеюсь, что ОМОН с налоговой службой не ворвутся ко мне в квартиру. Вы это все делаете НА СВОЙ СТРАХ И РИСК!!!)
6. Так, хостинг на почти законных основаниях у нас есть. Но нужно ещё выбить домен. Это имя Вашего подлого сайта. А ля pikachu.ru (Не реклама, пример). Поможет нам в этом . Сайт тормозит, поэтому без лишних нервов терпим. Переходим по ссылке, выдумываем какое-нибудь не слишком короткое имя сайта без .com .ru и т.п. И нажимаем Check Aviability. Вам будут предложены домены .tk .ml и т.д. Выбираем понравившийся, оформляем его бесплатную покупку, подтверждаем её регистрацией. Используйте почту .com, а ля от гугла, ибо очень часто сервис с другими доменами не дружит и не хочет слать письма. Если Вам не придет письмо, то Ваша ссылка будет занята около 2х суток и с другой почты именно такую Вы забрать не сможете в течении данного времени.
7. Теперь у Вас все есть для реализации. Осталось это все собрать воедино. Заходим в аккаунты на freenom и beget. Во freenom открываем сверху вкладку Services, a после My Domains. Нажимаем кнопку Manage Domain рядом с нашим сайтом. Там выбираем Managment Tools > Nameservers. C первого по четвертый Nameserver вписываем NS1.BEGET.COM NS2.BEGET.COM NS1.BEGET.PRO NS2.BEGET.PRO . Жмем Change Nameservers. Спустя 12 часов, а то и 24 часа домен начнет пересылать людей на наш хостинг. А мы пока его настроим.
8. Итак, нам нужно добавить домен на хостинг. Для этого заходим в Управление доменами и поддоменами. Там пишем ссылку Вашего сайта. Жмем добавить домены. Готово! Осталось выбить платный хостинг. Возвращаемся на главную страницу хостинга. Слева предложат выбрать тарифный план (подкорректируйте, если не туда послал), заходим туда и выбираем самый дешевый Blog. Выбираем и оформляем его. Деньги попросят постоплатой и укажут срок до которого будет работать сайт без оплаты. Теперь ждем пока новый пакет услуг будет применен. Обычно занимает около 30 минут.
9. Когда хостинг стал платным, а домен почти готов пачками забрасывать на сайт бедолаг, нужно оформить сертификат безопасности, чтобы браузеры позволяли скриптам геолокации работать с клиентами. Но не переживайте, все это просто, быстро и не страшно. Заходим в Управление доменами и поддоменами, ищем наш сайт и справа от него нажимаем на щит с надписью SSL внутри. Выбираем Бесплатный сертификат и жмем Заказать. Все. Через минут 15 Ваш сайт станет оплотом доверия.
10. И наконец финал, нужно поместить файлы сайта на хостинг. Переходим на главную страницу хостинга. Жмем на Файловый менеджер. Там открываем наш сайт > public_html. Удаляем оттуда все, если там что-то есть и закидываем файлы сайта из папки nearyou. Пронаблюдайте, чтобы все было также и чтобы обязательно были перемещены папки и файлы внутри них.
11. Все! Теперь ждите, когда домен начнет перенаправлять на хостинг и будет получен SSL сертификат (с ним сайт будет работать на https://, без него только на http://).
12. Когда сайт заработает Ваши жертвы отдадут ему данные, Вам нужно будет их получить. Они поочередно будут записываться в файлы result.txt и info.txt, которые лежат в папке php Вашего сайта. Посмотреть их можно из Файлового менеджера на хостинге, либо с помощью ссылок: ваш сайт/php/info.txt и геолокация: ваш сайт/php/result.txt. При большом скоплении данных Вы можете открыть эти файлы в файловом менеджере и удалить их внутреннее содержимое. Главное не удаляйте сами файлы.

Описание файла info.txt: "platform": платформа,"browser": браузер,"cores": количество ядер процессора,"ram":оперативная память,"vendor": поставщик системы, браузера или устройства,"render":видеочип,"ip": ip адрес ,"ht": высота экрана,"wd": ширина экрана,"os": операционная система
Описание файла result.txt: "lat":первая координата,"lon":вторая координата,"acc":точность геоположения в метрах,"alt":высота,"dir":направление,"spd":скорость

Для определения геолокации на карте вставляете данные в ссылку: google .com/maps/place/координата+вторая координата
На этом все!!!))) Поправляйте, спрашивайте, если что. Реализацию 2, которая подразумевает создание собственной страницы обманки на гео с объяснением элементов соц хакинга выложу, если будет интересно хотя бы пятерым людям)

Пользуясь случаем) Очень интересна работа на удаленке. Хорошо знаю C++, Java. Есть опыт C#, Java Script. Есть проекты серьезной робототехники, приложение на Android. Готов учиться и работать за небольшую плату) 18 лет. Пишите в лс или на почту pozd20001@yandex.ru
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!