2012. szeptember 30., vasárnap

Phishing V. - Test the login page

Az alábbi ismeretek oktatási céllal készültek. Ha valaki olyan módon használja fel az ismereteket ami kárt okoz másoknak akkor a következményekért magának kell vállalnia a felelősséget.

Ebben a videóban bemutatom, hogy hogy lehet egy klónozott oldalt feltölteni egy free webhost szerverre és körülbelül milyen módosításokat célszerű elvégezni az eredeti forráson, hogy helyesen működjön az oldal. Az első, hogy azt az oldalt kell módosítanunk, ahol a belépés történik. Ez általában a főoldal vagy a login.html vagy más hasonló lap. Itt a vezérlést át kell adni az általunk készített programnak. Az általunk készített program (a pédában login.php) kiírja egy fájlba a begépelt adatokat - és néhány más paramétert - majd megpróbálja auto submit-al továbbküldeni az adatokat az eredeti oldalra. Biztonság kedvéért betettem egy redirect meta hivatkozást ami 15 másodperc után mindenképpen átküldi a felhasználót az eredeti bejelentkező oldalra. Ezzel a phisingnek ez a része el is készült. Van egy oldalunk ami másolata az eredetinek és ha valaki begépel valamit és megnyomja a belépés gombot, akkor az adatok lementődnek egy fájlba. Íme a videó :



A következő lépés az lenne, hogy az adott linket elküldjük a felhasználónak. Ehhez url obfuscation-t kellene alkalmazni. Ezt részletesen leírják itt :

http://www.pc-help.org/obscure.htm

A fentiekből is látszik, hogy nem olyan túl bonyolult készíteni egy ilyen oldalt - gyakorlatilag bármilyen weboldal lemásolható és hamisítható ilyen módon. Az url elrejtésére más egyéb módszerek is akadnak - az url mező eltüntetése, vagy hamis url mező képként való megjelenítése, stb. Átlagos felhasználót nagyon könnyen megtévesztik ezek a módszerek.

Ezt a phishing módszert lehet máshogyan is alkalmazni. Amennyiben nem valamilyen begépelt adatokra vagyunk kíváncsiak, akkor elég, ha a bejelentkező lapot írjuk át oly módon, hogy az automatikusan továbbküldi a felhasználót egy másik oldalra ahol egy php script megpróbál minél több információt legyűjteni a kliensről. Ip cím, op rendszer, böngésző típusa, verziója, stb. ezt az információt pedig egy kidolgozottabb támadásra tudná egy támadó felhasználni...

Védekezésre meg lehet próbálni úgynevezett anti-phishing szoftvereket, plugineket, stb használni de a legjobb, ha a levélben kapott linkeket alaposan megvizsgáljuk és csak óvatosan kattintgatunk...

8 megjegyzés:

  1. Drága uram,
    kb 3 órán keresztül szenvedtem a loveboxos projektel, mindent megcsináltam, csak az a szemét script nem hajlandó egy karaktert sem irni az output.txt-be. Vajon mi lehet a probléma?

    VálaszTörlés
  2. Ezt így látatlanban nehéz megmondani. Az output.txt-nek ott kell lennie abban a könyvtárban ahol a login.php van és az attribútuma rwxrwxrwx (777) kell legyen, ha kilistázod.
    Vagyis írásjog kell rá. Ha van rá írás jog és ott van a könyvtárban, akkor meg kell tudnod nyitni és írhatsz bele.
    Nézd meg, hogy az otuput.txt attributumai jók-e. Ha jók, és a scriptben nem írtál el semmit akkor működnie kell...

    VálaszTörlés
  3. Sikerült kiiratnom a fájlt, de pont a lényeget, a username-t és a pass-t nem irja ki.Van rá lehetőség, h küldjek egy screenshotot?

    VálaszTörlés
  4. Nem igazán értem a dolgot..... Ha kiír valamit a login.php ez azt jelenti, hogy ráadódott a vezérlés. Az inputok jönnek rendesen ?
    Ez a kiírató parancs :
    fwrite($fh,"$clientip, $agent, $inputs");
    Ez írja ki a kapott inputokat. Ha nem írja ki a jelszót, akkor az azt jelenti, hogy nem is kapott jelszót...
    Debuggolásként próbáld meg kiíratni a képernyőre a kapott paramétereket.
    Írasd ki a $_REQUEST tartalmát a képernyőre...

    VálaszTörlés
  5. Szia!

    A segitsegedre lenne szuksegem!Mar 1 napja probalkozom az altalad leirtakkal egy klon oldal letrehozasan,de egyszeruen nem megy...Legyszives vedd fel velem a kapcsolatot a kovetkezo e-mail cimen: mezi@gmail.hu
    Nagyon-nagyon szuksegem lenne a segitsegedre!
    Koszonom elore is!

    VálaszTörlés
    Válaszok
    1. Szia,

      Működő klón oldalt a www.hackerkepzes.hu-n található csomag is tartalmaz.

      Törlés

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.