• B правой части каждого сообщения есть стрелки и . Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок в правой части сообщения.

  • Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Возможно ли автоматизировать BeFF? ....или подскажите другой фреймворк.

AlCat

Active member
30.10.2018
38
0
BIT
2
Поднял сайт.
Возможно ли в автоматическом режиме получать все куки браузера посетителя сайта?
Что то такое делает BeFF, но там все нужно делать ручками. А как автоматизировать - я что то не сообразил (.
Есть ли подобное в Метасплойте? Или подскажите фреймворк для таких целей.

По рассказам, при посещении некоторых сайтов с мобильных устройств через LTE, сайт вытягивал каким-то образом номер телефона, с которого произведен выход в Интернет. Интересно, это байки или такое возможно?
 

f22

Codeby Academy
Gold Team
05.05.2019
1 844
225
BIT
1 124
Поднял сайт.
Возможно ли в автоматическом режиме получать все куки браузера посетителя сайта?
Что то такое делает BeFF, но там все нужно делать ручками. А как автоматизировать - я что то не сообразил (.
Есть ли подобное в Метасплойте? Или подскажите фреймворк для таких целей.

По рассказам, при посещении некоторых сайтов с мобильных устройств через LTE, сайт вытягивал каким-то образом номер телефона, с которого произведен выход в Интернет. Интересно, это байки или такое возможно?
Обычно правильно настроенный браузер не даст одному сайту читать информацию о cookies другого.

Ну а вообще смотри в сторону XSS
 

b0d

Green Team
02.11.2019
35
64
BIT
0
вытащить номер через посещение сайта это байка.
А вот воткнуть хук бифа в нужную соединение и вытащить все куки это реальная тема.
Но ты должен быть в локалке с юзером, нужно запустить arpspoof и sslstrip'нутьь соединение, и воткнуть хук. Тогда ты сможешь забирать все что хочешь из браузера.
Если у тебя просто сайт, ты можешь вставить в него хук бифа но толку от этого не будет потому что ты итак можешь как сервер все считывать)
Если нужны куки от других сайтов нужно либо там искать xss и вставлять хук бифа или снифать соединение и втыкать хук через арп поизон.
 

AlCat

Active member
30.10.2018
38
0
BIT
2
вытащить номер через посещение сайта это байка.
А вот воткнуть хук бифа в нужную соединение и вытащить все куки это реальная тема.
Но ты должен быть в локалке с юзером, нужно запустить arpspoof и sslstrip'нутьь соединение, и воткнуть хук. Тогда ты сможешь забирать все что хочешь из браузера.
Если у тебя просто сайт, ты можешь вставить в него хук бифа но толку от этого не будет потому что ты итак можешь как сервер все считывать)
Если нужны куки от других сайтов нужно либо там искать xss и вставлять хук бифа или снифать соединение и втыкать хук через арп поизон.
У меня просто сайт )
И я в index.html вставил бифовский скрипт. Но биф же не автоматизируется, нужно там все ручками...
Я думал может есть другой похожий фреймворк, который бы с браузеров посетителей вытаскивал куки автоматически.
 

b0d

Green Team
02.11.2019
35
64
BIT
0
У бифа точно есть rest api, я с ним танцевал, когда хотел файл выложить на веб. Увепен что через апи можно автоматизировать чтото.
Но прежде чем это сделать ты бы потренился и посмотрел бы, что дает тебе хук бифа на своем же сайте.
Может ьак оказаться, что ты там все автоматизируешь а толку не будет, потому что куки ты сможешь получать толтко от своего сайта.
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!