• XSS.stack #1 – первый литературный журнал от юзеров форума

Вопрос для знатаков 2fa otp

Отслеживать
Mellstroy

Mellstroy

(L3) cache
Пользователь
Регистрация
02.10.2020
Сообщения
230
Реакции
64
Гарант сделки
5
Есть таргет novo.co. Если делать под него токенку то после ввода otp кода , он так же отправляет ссылку на почту (если устройство незнакомое). Эту ссылку нужно открыть в том же браузере в котором и просходит логин. Если открыть в другом смотрите скрин 4.

Собвственно вопрос возможно ли это как то обойти при помощи evilginx, evilnovnc? Там же как я понимаю их сервер будет видеть так же запросы от нашего ип , а не от ип холдера и устройство так же будет новым. Поэтому так же отправит ссылку на почту дополнительно.

Вопрос как эту суку фишить?
Делать допом фиш под gmail и другие почты и просить их бредовая идея конверсия просядет. Так же вставлять ссылку с почты тоже такая себе затея.

За хорошую подсказку монетка.

There is a target novo.co. If you make a token for it, after entering the otp code, it also sends a link to the mail (if the device is unfamiliar). This link should be opened in the same browser in which the login takes place. If you open it in another browser, see screen 4.

The question is whether it is possible to bypass it with the help of evilginx, evilnovnc? There as I understand their server will see as well requests from our ip, not from the ip holder and the device will also be new. Therefore, it will also send a link to the mail additionally.

The question is how to phish this bitch?
Make an additional phish under gmail and other mail and ask them to delusional idea conversion will drop. Also insert a link from the mail is also such an idea.

For a good clue coin.
 

Вложения

  • 1.png
    1.png
    20.4 КБ · Просмотры: 82
  • 2.png
    2.png
    50.5 КБ · Просмотры: 73
  • 3.png
    3.png
    12.7 КБ · Просмотры: 75
  • 4.png
    4.png
    36.6 КБ · Просмотры: 84
Пожалуйста, обратите внимание, что пользователь заблокирован
Mellstroy сказал(а):
Есть таргет novo.co. Если делать под него токенку то после ввода otp кода , он так же отправляет ссылку на почту (если устройство незнакомое). Эту ссылку нужно открыть в том же браузере в котором и просходит логин. Если открыть в другом смотрите скрин 4.

Собвственно вопрос возможно ли это как то обойти при помощи evilginx, evilnovnc? Там же как я понимаю их сервер будет видеть так же запросы от нашего ип , а не от ип холдера и устройство так же будет новым. Поэтому так же отправит ссылку на почту дополнительно.

Вопрос как эту суку фишить?
Делать допом фиш под gmail и другие почты и просить их бредовая идея конверсия просядет. Так же вставлять ссылку с почты тоже такая себе затея.

За хорошую подсказку монетка.

There is a target novo.co. If you make a token for it, after entering the otp code, it also sends a link to the mail (if the device is unfamiliar). This link should be opened in the same browser in which the login takes place. If you open it in another browser, see screen 4.

The question is whether it is possible to bypass it with the help of evilginx, evilnovnc? There as I understand their server will see as well requests from our ip, not from the ip holder and the device will also be new. Therefore, it will also send a link to the mail additionally.

The question is how to phish this bitch?
Make an additional phish under gmail and other mail and ask them to delusional idea conversion will drop. Also insert a link from the mail is also such an idea.

For a good clue coin.
rat him instead of phishing account login this will give you remote access to his pc or use HVNC and you will be able to use the victim browser
 
Пожалуйста, обратите внимание, что пользователь заблокирован
с таким геморным таргетом мало что придумать без потери конверсии...
разве что просить вставить линк, это конечно тоже такая себе идея, но жизнеспособная
варианты с проксированием тоже отпадают, т.к.
кх (1.1.1.1) > фиш (2.2.2.2) > таргет
сразу же фрод на новое устройство (айпи)
линк у кх не будет работать как на скрине 4, тк там проверка по айпи и девайсу
тут либо выдумывать треш по типу:
1. сначала фиш почты, потом фиш таргета (можно фишить их прямо на странице таргета, типо новый способ логина, все дела. а лого почты выдавать с анимкой какой то, после написания кх этой почты. типо если яху - лого яху. если гугл - лого гугла)
2. на этапе отсыла линки выдавать файл если чел на условной винде (супер геморно, может не отстучать, детект + кх быстро поймет что это чето не то. файлик (программу) стилизовать под аппку таргета)
либо бросить этот таргет, но если 100% знаешь что оно дает без проблем - стоит заморочиться
 
ordinaria1 сказал(а):
с таким геморным таргетом мало что придумать без потери конверсии...
разве что просить вставить линк, это конечно тоже такая себе идея, но жизнеспособная
варианты с проксированием тоже отпадают, т.к.
кх (1.1.1.1) > фиш (2.2.2.2) > таргет
сразу же фрод на новое устройство (айпи)
линк у кх не будет работать как на скрине 4, тк там проверка по айпи и девайсу
тут либо выдумывать треш по типу:
1. сначала фиш почты, потом фиш таргета (можно фишить их прямо на странице таргета, типо новый способ логина, все дела. а лого почты выдавать с анимкой какой то, после написания кх этой почты. типо если яху - лого яху. если гугл - лого гугла)
2. на этапе отсыла линки выдавать файл если чел на условной винде (супер геморно, может не отстучать, детект + кх быстро поймет что это чето не то. файлик (программу) стилизовать под аппку таргета)
либо бросить этот таргет, но если 100% знаешь что оно дает без проблем - стоит заморочиться
Ну эти варики я в принципе и описал) только про файл забыл , ну это тоже бред конечно, если только не выдавать readme.com-lnk-exe тогда хоть как то будет похоже на инструкцию. Но вроде щяс и на .com смарт скриин. Можно еще шаблон пфб и внутри линк типо обновите ридер. И там lnk с иконкой пдф ну вы поняли) Но это все дроч.
 
Volcan сказал(а):
rat him instead of phishing account login this will give you remote access to his pc or use HVNC and you will be able to use the victim browser
Even when logging in from his browser via hvnc forced otp on login and all actions within the account. So it won't help.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Mellstroy сказал(а):
Even when logging in from his browser via hvnc forced otp on login and all actions within the account. So it won't help.
no way if so then you are using it wrong that's it or the problem with the HVNC you use try to lookup for something better
 
Volcan сказал(а):
no way if so then you are using it wrong that's it or the problem with the HVNC you use try to lookup for something better
You're probably thinking of a session that's already logged in. I explain that if the session is not logged in there is a forced OTP even if you log in from the same IP and browser and from the same computer.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
можешь попробовать пошаманить с bitb
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/115790/
но опять же скажу что таргет очень соленый и проще будет найти пару новых, чем убить время на этот. опять же, если ты 100% НЕ знаешь что он дает и клик там не раз в 10 лет.
 
ordinaria1 сказал(а):
можешь попробовать пошаманить с bitb
https://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/115790/
но опять же скажу что таргет очень соленый и проще будет найти пару новых, чем убить время на этот. опять же, если ты 100% НЕ знаешь что он дает и клик там не раз в 10 лет.
Ну битб по сути в этом случае не чего особо не дает кроме того что будет чуть больше траста при фише почты) А с кликами там все в порядке. Ну ладно походу рыбалка тут отменяется, надо через хвнц пробывать что то думать.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Mellstroy сказал(а):
не чего особо не дает
ну почему? открывается супербезопасное защищенное окошко с просьбой туда вставить линк, чел туда вставляет линк, оно фишится. но если у кх маленькое iq это может не сработать.
 
ordinaria1 сказал(а):
ну почему? открывается супербезопасное защищенное окошко с просьбой туда вставить линк, чел туда вставляет линк, оно фишится. но если у кх маленькое iq это может не сработать.
Ну ладно придется запорочить фронтера сделать хорошую форму для супер безопасного окна и гифкой как копировать линк из письма)
 
Ну может они проверяют user agent и куки, которое они втирают когда пользователь логинится. Попробуй изменить user agent ( думаю получится через js_inject), либо чекни куки.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх