- Регистрация
- 20.01.2011
- Сообщения
- 7,665
- Розыгрыши
- 0
- Реакции
- 135
Пример фишинговой страницы: Для просмотра ссылки Войди или Зарегистрируйся
Меняем домен в ссылке "tesla.com" на "facebook.com": Для просмотра ссылки Войдиили Зарегистрируйся
Что здесь происходит?
1. Редирект через Google Translate.
В случае XSS.is формат редиректа будет такой: Для просмотра ссылки Войдиили Зарегистрируйся
Таблица кодирования-декодирования:
Как избавиться от баннера Google Translate:
Как подменить лого с определенного запроса (пример с tesla.com/facebook.com):
2. Хостинг фишинг-страниц с IPFS.
IPFS - это InterPlanetary File System, “a peer-to-peer hypermedia protocol designed to make the web faster, safer, and more open”, так называемый Web 3.0.
Можно шарить файлы, приложения и многое другое через децентрализованную сеть.
Пример №1: хостим пейлоад.
1) Устанавливаем последний пакет IPFS с Для просмотра ссылки Войдиили Зарегистрируйся
2) Распаковываем и исполняем с привилегиями root:
tar -zxvf go-ipfs_v0.4.22_linux-amd64.tar.gz
Примеры со скриншотов всегда с правами рута, возможно разумнее исполнять IPFS скрипты из под пользователя.
3) Создайте директорию с файлами пейлоада и сам “Get-Process” пейлоад. Формат может быть любой - binary, .ps или что-то иное.
4) Теперь инициализируем IPFS:
5) Запускаем демон, файл конфигурации находится здесь: ~/.ipfs/config
5) Демон начинает синхронизироваться с сетью. Все, что нам нужно, добавить наш файл в сеть с помощью команды “ipfs add test.ps1”:
6) На выходе получаем хэш, что и является адресом нашего файла в сети. Все последствия в IPFS сети необратимые: как только мы получили хэш, файл уже нельзя изменить. Если файл нужно изменить, мы просто перегружаем его снова и получаем новый хэш.
7) Существует также графический интерфейс демона, который запускается по адресу localhost:5001/webui, кому удобнее - используйте его:
Большой минус IPFS: скорость распространения файла по сети, весь процесс может занять как минимум несколько минут. Пока трансляция не завершена, гейт не сможет найти ваш файл. Далее он будет доступен через адрес гейта: https://ipfs.io/ipfs/<QMhash>. Невероятно, но факт: Cloudflare поддерживает IPFS сеть, это означает, что файл будет также доступен по адресу: https://cloudflare-ipfs.com/ipfs/<QMhash>
Пример №2: хостим фишинг-страницу.
В данном примере расмотрим как создать и загрузить простейшую фишинг-страницу с пейлоадом в IPFS.
1) Создадим index.html, который будет содержать вредоносный .HTA файл:
2) Делаем пейлоад. В примере исполняется calc и после закрывается:
3) Абсолютно также, как мы уже делали в примере выше, загружаем файлы в IPFS. В данном примере мы помещаем файлы в /web директорию, исполняем команду “ipfs add -r web”, чтобы получить хэши файлов и загрузить их в IPFS.
На этот раз мы также загрузим наши файлы в IPNS. Когда мы публикуем файлы в IPNS, мы получаем статический хэш, который может быть использован повторно, если мы меняем наши файлы. Если мы изменили файлы после загрузки в сеть, просто перегружаем их и публикуем в сеть снова. В результате файлы будут доступны по адресу того же хэша на; ipfs.io/ipns/qmhash.
По сути, все, что мы должны сделать, поменять ipfs/ на ipns/. Больше документации по поводу IPNS доступно по адресу: Для просмотра ссылки Войдиили Зарегистрируйся
4) После публикации наша фишинговая страница будет доступна на IPNS (когда закончится синхронизация):
Итого: мы создали и захостили фишинговую страницу, которая будет теперь доступна через IPFS.io, CloudFlare или напрямую через ваш собственный гейтвей (Для просмотра ссылки Войдиили Зарегистрируйся).
Примеры активных кампаний, используя методы, что я описал выше:
1) Крипта: Для просмотра ссылки Войдиили Зарегистрируйся
2) Таргет через Microsoft Docusign: Для просмотра ссылки Войдиили Зарегистрируйся
Источники:
1) За инструкцию по IFNS спасибо @rvrsh3ll: Для просмотра ссылки Войдиили Зарегистрируйся
2) Разбор по тактике "Хамелеона" - подмена лога с запроса: Для просмотра ссылки Войдиили Зарегистрируйся
3) Обзор активных кампаний + спалены несколько ФО, что эксплуатируются при хостинге IPFS-файлов: Для просмотра ссылки Войдиили Зарегистрируйся
4) Хороший отчет Talos, примеры писем + список IPFS гейтов: Для просмотра ссылки Войдиили Зарегистрируйся
5) Kaspersky (на русском): Для просмотра ссылки Войдиили Зарегистрируйся
Меняем домен в ссылке "tesla.com" на "facebook.com": Для просмотра ссылки Войди
Что здесь происходит?
1. Редирект через Google Translate.
В случае XSS.is формат редиректа будет такой: Для просмотра ссылки Войди
Таблица кодирования-декодирования:
Как избавиться от баннера Google Translate:
Код:
Код:
body > .skiptranslate {
display: none;
}
Код:
Код:
$ ("#logoimg").attr("src", "https://www[.]google[.]com/s2/favicons?domain="+my_slice);
$ ("#logoname").html(finalu);
///////////new injection////////////////
count=count+1;IPFS - это InterPlanetary File System, “a peer-to-peer hypermedia protocol designed to make the web faster, safer, and more open”, так называемый Web 3.0.
Можно шарить файлы, приложения и многое другое через децентрализованную сеть.
Пример №1: хостим пейлоад.
1) Устанавливаем последний пакет IPFS с Для просмотра ссылки Войди
2) Распаковываем и исполняем с привилегиями root:
tar -zxvf go-ipfs_v0.4.22_linux-amd64.tar.gz
Примеры со скриншотов всегда с правами рута, возможно разумнее исполнять IPFS скрипты из под пользователя.
3) Создайте директорию с файлами пейлоада и сам “Get-Process” пейлоад. Формат может быть любой - binary, .ps или что-то иное.
4) Теперь инициализируем IPFS:
5) Запускаем демон, файл конфигурации находится здесь: ~/.ipfs/config
5) Демон начинает синхронизироваться с сетью. Все, что нам нужно, добавить наш файл в сеть с помощью команды “ipfs add test.ps1”:
6) На выходе получаем хэш, что и является адресом нашего файла в сети. Все последствия в IPFS сети необратимые: как только мы получили хэш, файл уже нельзя изменить. Если файл нужно изменить, мы просто перегружаем его снова и получаем новый хэш.
7) Существует также графический интерфейс демона, который запускается по адресу localhost:5001/webui, кому удобнее - используйте его:
Большой минус IPFS: скорость распространения файла по сети, весь процесс может занять как минимум несколько минут. Пока трансляция не завершена, гейт не сможет найти ваш файл. Далее он будет доступен через адрес гейта: https://ipfs.io/ipfs/<QMhash>. Невероятно, но факт: Cloudflare поддерживает IPFS сеть, это означает, что файл будет также доступен по адресу: https://cloudflare-ipfs.com/ipfs/<QMhash>
Пример №2: хостим фишинг-страницу.
В данном примере расмотрим как создать и загрузить простейшую фишинг-страницу с пейлоадом в IPFS.
1) Создадим index.html, который будет содержать вредоносный .HTA файл:
2) Делаем пейлоад. В примере исполняется calc и после закрывается:
3) Абсолютно также, как мы уже делали в примере выше, загружаем файлы в IPFS. В данном примере мы помещаем файлы в /web директорию, исполняем команду “ipfs add -r web”, чтобы получить хэши файлов и загрузить их в IPFS.
На этот раз мы также загрузим наши файлы в IPNS. Когда мы публикуем файлы в IPNS, мы получаем статический хэш, который может быть использован повторно, если мы меняем наши файлы. Если мы изменили файлы после загрузки в сеть, просто перегружаем их и публикуем в сеть снова. В результате файлы будут доступны по адресу того же хэша на; ipfs.io/ipns/qmhash.
По сути, все, что мы должны сделать, поменять ipfs/ на ipns/. Больше документации по поводу IPNS доступно по адресу: Для просмотра ссылки Войди
4) После публикации наша фишинговая страница будет доступна на IPNS (когда закончится синхронизация):
Итого: мы создали и захостили фишинговую страницу, которая будет теперь доступна через IPFS.io, CloudFlare или напрямую через ваш собственный гейтвей (Для просмотра ссылки Войди
Примеры активных кампаний, используя методы, что я описал выше:
1) Крипта: Для просмотра ссылки Войди
2) Таргет через Microsoft Docusign: Для просмотра ссылки Войди
Источники:
1) За инструкцию по IFNS спасибо @rvrsh3ll: Для просмотра ссылки Войди
2) Разбор по тактике "Хамелеона" - подмена лога с запроса: Для просмотра ссылки Войди
3) Обзор активных кампаний + спалены несколько ФО, что эксплуатируются при хостинге IPFS-файлов: Для просмотра ссылки Войди
4) Хороший отчет Talos, примеры писем + список IPFS гейтов: Для просмотра ссылки Войди
5) Kaspersky (на русском): Для просмотра ссылки Войди