2012. október 5., péntek

Advanced phishing attack - V. Információ gyűjtés

Az információgyűjtést többféle módon is elvégezhetjük. Amennyiben free webhostingot használunk, akkor oda elhelyezhetünk egy php scriptet ami megpróbálja a lehető legtöbb információt begyűjteni a rácsatlakozó kliensről. Ip cím, böngésző típusa, verziója, operációs rendszer típusa, javascript lekérdezések és az eredmények tárolása egy file-ba.
Amennyiben a saját gépünkre mutat az elküldött link, akkor itt futtathatunk passzív os fingerprintet és egyből tudunk egy portscannert is futtatni az adott ip címre sebezhetőségek után kutatva. (bár ez a legtöbb esetben nem jár eredménnyel, mert már a legalapvetőbb otthoni routerek is meggátolják a portscan-t illetve ha be van kapcsolva a windows tűzfal, akkor se fogunk látni semmit. De mindenesetre egy próbát megér.)
Ezt a lépést megfelelően elő kell készíteni, mert nem lehet sokszor megismételgetni. Egy alkalommal kell a lehető legtöbb információt begyűjteni a kliensről.

Az információ gyűjtését egy célzott php kóddal a legcélravezetőbb megoldani. Készíteni fogok majd egyet és kiteszem ide. Addig is meg lehet próbálkozni a Piwik-el. Ez ugyan ágyúval verébre történő dolog, de lehet, hogy gyorsabb megcsinálni mint előállítani a php file-t és kiértékelni az adatait.
A Piwik-et fel kell tenni bármelyik free webhost-ra, be kell konfigurálni, majd a kérdéses oldalra fel kell tenni a javasript futtatóját. Ezután már csak várni kell, hogy az áldozat rákattintson az oldalunkra.

A példa kedvéért erre az oldalra feltettem, hogy aki idejön meg tudja nézni, hogy mit lehet látni ezen keresztül :



http://allasszerzo.hu/piwik/index.php?module=CoreHome&action=index&idSite=2&period=day&date=today#module=Live&action=getVisitorLog&idSite=2&period=day&date=today

Látható, hogy nem cak azt tudja megmondani, hogy melyik internetszolgáltatótól jött a kliens, de még a telepített bővítményeket is ! (Az ip cím csak itt nem látszik, egyébként természetesen azt is meg tudja mutatni.) A Piwik haználata kicsit túlzásnak tűnik, de kétségtelen, hogy a célnak megfelel. elég sok mindent összegyűjt a kliens gépről. Pont annyi információt mint amire szükségünk lehet. Operációs rendszer típusa, böngésző típusa, verziója, telepített bővítmények listája, stb.

(Ha valakit érdekel, hogy az ő gépéről mit tud megmondani a piwik, akkor csak meg kell keresnie magát a listában - időpont szerint :)

2 megjegyzés:

  1. üdv,
    felraktam a piwiket az egyik oldalamra.
    a beállításoknál az adatbázisszervernek a localhostot kell megadni/ami az alapértelmezett/ vagy a szerver IP címét?

    VálaszTörlés
  2. Web szolgáltatótól függ. Általában localhostot szoktak használni biztonsági megfontolásból, de én már találkoztam olyan webszolgáltatással is ahol az adatbázis másik ip címen volt. Próbáld meg megnézni a webszolgáltatónál, hogy a leírásban mit mondanak melyiket kell használni.

    Próbáld ki a localhost-ot és ha az nem megy, akkor nézd meg, hogy mit ajánl a szolgáltató ilyen esetben. Ha eltérés van a normál használattól, azt jelezni szokták valamilyen leírásban.

    VálaszTörlés

Megjegyzés: Megjegyzéseket csak a blog tagjai írhatnak a blogba.