1. Этот сайт использует файлы cookie. Продолжая пользоваться данным сайтом, Вы соглашаетесь на использование нами Ваших файлов cookie. Узнать больше.
Приветствуем вас,Гость, на форуме IFUD.WS. Обязательно рекомендуется к прочтению правила форума http://ifud.ws/threads/obnovleno-pravila-foruma.7759

Как перехватить логин и пароль в Gmail, GitHub

Тема в разделе "Чужие", создана пользователем XAKNET, 22 фев 2018.

  1. TopicStarter Overlay
    XAKNET

    XAKNET

    Регистрация:
    3 окт 2016
    Сообщения:
    36
    Симпатии:
    10
    Изначально утилита Ngrok создавалась для разработчиков, чтобы поднять свой локальный сервис. Но мы будем ее использовать в своем направлении.

    Вступление
    Иногда бывают такие ситуации, когда есть доступ к сети или у вас есть связь с целью, то можно с помощью утилиты Ngrok можно решить эту проблему. Вообще она создавалась для хороших целей, чтобы разработчики имели возможность поднять свой локальный сервис и показать другим людям без постороннего хостинга.​

    Поверх Ngrok мы установим инструмент для создания фишинговых страниц SocialFish. Таким образом, можно поднять свой собственный сервис с фишинговыми страницами.

    Установка
    Для начала необходимо установить SocialFish. Выполняем команды, все операции проводились на Kali Linux:

    $ sudo git clone Войти или зарегистрироваться, чтобы увидеть ссылку. cd SocialFish/$ sudo pip install -r requirements.txt$ sudo chmod +x SocialFish.py$ python SocialFish.py
    После установки будет такая картина:

    [​IMG]
    Завершения установки SocialFish
    Для дальнейшего использования вам необходимо согласиться, что вы будете использовать утилиту только в образовательных целях. Поэтому я не несу никакой ответственности, а все описанное в статье предоставлено исключительно в образовательных целях.

    Как создать фишинговую страницу Gmail?
    Для этого выбираем в меню "Select an Option" 2, а потом выбираем Standart Page Fishing в меню Operation Mode. Стоит заметить, что есть возможность выбрать Advance Page Fishing с более детальными настройками и возможность редактирования poll_mode/login_with. После выбора получаем ссылку, которую можно использовать для дальнейших действий.

    [​IMG]
    Готовый сайт с формой авторизации
    Тестирование происходило на машине с Windows 10. Ссылка имеет формат с протоколом https, но иконка дополнительно не подсвечивается. Можно заметить, что форма выглядит достаточно правдоподобно. После ввода данных происходит переадресация в поиск Google, а данные для регистрации попадают к нам.

    [​IMG]
    Фишинговая страница
    [​IMG]
    Получения данных для авторизации
    Следует отметить, что все файлы можно посмотреть в корневой директории SocialFish. Таким образом можно дополнительно поиграться с редиректами и другими настройками. Это может помочь в исключительных ситуациях, когда нужно сделать идеальную страницу и чтобы после авторизации пользователь попадал в настоящую Gmail почту.

    [​IMG]
    Директория SocialFish
    Как создать фишинговую страницу GitHub?
    Выполняем все по алгоритму, просто выбираем GitHub. Как видим ссылка с протоколом https. Выглядит очень правдоподобно. После ввода данных они попадают нам в нужное место.

    [​IMG]
    Фейковая страница GitHub
    [​IMG]
    Перехваченные данные с регистрационной формы GitHub
    Заключение
    С таким инструментом можно проводить хорошие атаки. Если еще использовать подменный сервис DNS или изменить ссылки на более правдоподобные, то будет очень круто. Я думаю идею вы поняли, используйте в правильных целях.

    (C)Plastik​
     
    Метки:

Поделиться этой страницей

Загрузка...