Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Toolkit de engenharia social: Criando Web site falsificados as próprias caixas

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Matéria Toolkit de engenharia social: Criando Web site falsificados as próprias caixas

    conhecido como SET. A ferramenta foi escrito por um dos principais contribuintes para Backtrack, David Kennedy (ReL1k). Ele também é um amigo. A homepage para SET é Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e não há uma informação mais útil lá.

    question-defense

    Estou particularmente impressionado com a nova função java applet SET (Obrigado Thomas Werth!) Então eu decidi fazer uma demonstração rápida de como ele funciona. Isso foi testado em IE8 e Firefox, ambos totalmente corrigido e atualizado.

    Para acompanhar o ataque que você vai precisar de uma cópia do Backtrack 4 final e terá de ser atualizado.

    Isso pode ser feito com o apt-get update && apt-get upgrade em um terminal.



    Quando estiver atualizado, alterar diretórios para o /pentest/exploits/SET.



    O ataque que estamos usando é o Web Site Applet Java que é a escolha #2:


    O que nós queremos fazer é clone de um site existente, que é a escolha #2:


    Precisamos inserir a URL do site que deseja clonar:

    (Xkcd.com Neste caso, estou usando o que é uma história em quadrinhos na web popular)


    Em seguida é preciso escolher uma payload:

    (Eu vou estar usando a carga meterpreter que é o meu favorito. Consulte este artigo para alguns tutoriais sobre como usar meterpreter)


    A próxima opção é fazer a codificação:

    (Isto é usado para contornar anti vírus maldito)


    Podemos também selecionar o número de vezes que queremos codificar a carga:

    (Eu usei 4 por causa do seu tutorial, mas provavelmente overkill)



    Desde que foi selecionada uma payload que exige uma conexão reversa é preciso digitar uma porta para o ouvinte(listener):



    Agora basta clicar em SET e deixar o jogo criar o website do mal:


    Se tudo foi corretamente você deve estar olhando para uma tela semelhante a esta:



    Agora precisamos buscar o nosso destino a visitar o nosso website mal:

    (Depende de como fazer isso, pela simplicidade que está indo só para enviar um e-mail)


    Nosso alvo desavisados cheques seu e-mail:


    E abre o link no seu navegador:


    Observe que neste momento ainda estamos no IP local do nosso servidor web mal (evil) e há um erro de assinatura digital. Este erro é a única indicação de que este ataque está ocorrendo.

    Uma vez que nossa meta aceita a mensagem de aviso, a nossa carga é executado em nossa máquina a atacar:



    Uma das partes mais legais sobre esse ataque é que, logo que os cliques de destino em qualquer um dos links na página, eles são levados para a página real na internet e nunca se sabe o que aconteceu:


    Fim
    Last edited by Bhior; 11-04-2010, 21:12.

    Similar Threads

  • Font Size
    #2
    Muito bom muito bom mesmo bhior, valeu !!!

    Gostou do meu Post? seja educado peça


    Msn: andersondex@hotmail.com
    Skype: dex.oficial

    Comment


    • Font Size
      #3
      Bhir só posta coisa muito boa *-*
      .
      NÃO ME RESPONSABILIZO PELOS SEUS ATOS!

      Ajude o GH : |Recrutamento de Divulgadores |Doação| Camisa Guia Do Hacker|


      |Rádio GH||Regras e Termos de Uso|SEGURANÇA GH|


      sigpic


      Comment


      • Font Size
        #4
        Otimo Tuto Lek Vlw Aew

        Thankz

        Comment


        • Font Size
          #5
          Poxa.... legal de +

          vlw por compartilhar mano

          Comment

          X
          Working...
          X