Как перехватить логин и пароль в Gmail, GitHub
Эксплойт![](/file/8304223a7eae0881ed6d1.jpg)
Изначально утилита Ngrok создавалась для разработчиков, чтобы поднять свой локальный сервис. Но мы будем ее использовать в своем направлении.
Вступление
Иногда бывают такие ситуации, когда есть доступ к сети или у вас есть связь с целью, то можно с помощью утилиты Ngrok можно решить эту проблему. Вообще она создавалась для хороших целей, чтобы разработчики имели возможность поднять свой локальный сервис и показать другим людям без постороннего хостинга.
Поверх Ngrok мы установим инструмент для создания фишинговых страниц SocialFish. Таким образом, можно поднять свой собственный сервис с фишинговыми страницами.
Установка
Для начала необходимо установить SocialFish. Выполняем команды, все операции проводились на Kali Linux:
$ sudo git clone https://github.com/UndeadSec/SocialFish.git
$ cd SocialFish/
$ sudo pip install -r requirements.txt
$ sudo chmod +x SocialFish.py
$ python SocialFish.py
После установки будет такая картина:
![](/file/24a5efbf38c0e312b2073.png)
Для дальнейшего использования вам необходимо согласиться, что вы будете использовать утилиту только в образовательных целях. Поэтому я не несу никакой ответственности, а все описанное в статье предоставлено исключительно в образовательных целях.
Как создать фишинговую страницу Gmail?
Для этого выбираем в меню "Select an Option" 2, а потом выбираем Standart Page Fishing в меню Operation Mode. Стоит заметить, что есть возможность выбрать Advance Page Fishing с более детальными настройками и возможность редактирования poll_mode/login_with. После выбора получаем ссылку, которую можно использовать для дальнейших действий.
![](/file/badc1d927033f5945bf8a.png)
Тестирование происходило на машине с Windows 10. Ссылка имеет формат с протоколом https, но иконка дополнительно не подсвечивается. Можно заметить, что форма выглядит достаточно правдоподобно. После ввода данных происходит переадресация в поиск Google, а данные для регистрации попадают к нам.
![](/file/7a022c54974855f43869e.png)
![](/file/d503b21a717e16e94c94f.png)
Следует отметить, что все файлы можно посмотреть в корневой директории SocialFish. Таким образом можно дополнительно поиграться с редиректами и другими настройками. Это может помочь в исключительных ситуациях, когда нужно сделать идеальную страницу и чтобы после авторизации пользователь попадал в настоящую Gmail почту.
![](/file/5e61132890255f659a887.png)
Как создать фишинговую страницу GitHub?
Выполняем все по алгоритму, просто выбираем GitHub. Как видим ссылка с протоколом https. Выглядит очень правдоподобно. После ввода данных они попадают нам в нужное место.
![](/file/783c4766ea18658099bd4.png)
![](/file/8151c8ba588edaddf5864.png)
Заключение
С таким инструментом можно проводить хорошие атаки. Если еще использовать подменный сервис DNS или изменить ссылки на более правдоподобные, то будет очень круто. Я думаю идею вы поняли, используйте в правильных целях.
![](/file/e8693f9f21f8580124862.png)
Выявляем все связи с веб сайтом.
PT Blackbox - онлайн сканер уязвимостей
Глушилка WI-FI сетей (WI-FI деаутентификатор своими руками).