• XSS.stack #1 – первый литературный журнал от юзеров форума

Статья Evilginx2 - тула для фишинга 2FA абсолютно бесплатно

Отслеживать
pablo сказал(а):
Evilginx2 - тула для фишинга от kgretzky. Киллер фича - это возможность забайпасить 2-fa. Для пользователя страница выглядит абсолютно идентично оригинальной, так как по факту это оригинальная страница и есть. Весь код страницы проксируется через nginx, а прокси подменяет все урлы которые есть в теле ответа, на урлы контролируемого домена, за счет чего все кнопки работают корректно, но редиректят на наш сервер.
Правильно ли я понимаю, что этим способом можно сайт, скажем юзеру показать сайт виндовс.ком. Но при нажатии кнопки скачать виндовс на лендинге, мы можем подсунуть ему урл своего файла, а юзер это даже не заметит, думаю, что качает винду с офишл сайта?
 
Fireburn сказал(а):
Правильно ли я понимаю, что этим способом можно сайт, скажем юзеру показать сайт виндовс.ком. Но при нажатии кнопки скачать виндовс на лендинге, мы можем подсунуть ему урл своего файла, а юзер это даже не заметит, думаю, что качает винду с офишл сайта?
Да, можно.
 
pewpewpew сказал(а):
Да, можно.
А вот это крайне интересно. Где таких спецов найти, которые Нгинкс шарят? Далеко не каждый бэк энд специалист в этом вопросе разбирается.
 
Nginx только в первой версии был. Вторая версия standalone Чтобы подменить ссылку, надо создать фишлет (phishlet) - это yaml-конфиг для оригинального сайта, в котором вы описываете что будет перехватываться либо заменяться - указывается адрес либо шаблон для страниц, и что нужно перехватить/заменить. По сути, работает как ижект в банковских троянах, только через фишинговый сайт.
 
Да, я не успел ничего сделать в рамках конкурса, прошу прощения. Напишу к середине декабря.
Если есть неотложные вопросы, пиши в ПМ, попробуем разобраться
 
xsscool сказал(а):
Какие фишлеты нужны пишите
What phishlet need write
Канада банки надо, бинанс, коинбайс - если такое осилишь стукни мне в пм...
 
pewpewpew сказал(а):
Да, я не успел ничего сделать в рамках конкурса, прошу прощения. Напишу к середине декабря.
Если есть неотложные вопросы, пиши в ПМ, попробуем разобраться

If you can help me set this up on my vps and make custom phislet i will reward you for it, thanks.
 
Я читал на какомто форуме что можно подменять данные на странице в реальном времени по regex с Evilginx2.
Кто нибудь разобрался как это можно сделать?
pewpewpew DeiTy Fireburn Fra kerberos spectrum pablo perceptron top Termux DrSleep
К примеру по regex-у менять на странице контактные или платежные данные?
 
Через JS-inject (на практике не проверял)
github.com

Phishlet File Format (2.3.0)

Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication - kgretzky/evilginx2
github.com
 
pewpewpew сказал(а):
Через JS-inject (на практике не проверял)
github.com

Phishlet File Format (2.3.0)

Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication - kgretzky/evilginx2
github.com
Да я это видел но я в JS не разбираюсь от слова совсем)
Поэтому спросил может кто знает как именно это сделать. На гите читаю и мне кажется что там триггеры по url а не по контенту, сам через пару часов поставлю на сервер снова изучать но может кто-то кто хорошо разбирается в JS может все это разжевать нам чтоб вопросы отпали, могу как всегда на чай закинуть баксов 20$...
 
Через sub_filters ещё можно. Это простая регулярка с заменой. Вот тут есть пример, где челик засунул туда инжект до того, как вышла версия с поддержкой инжектов.
github.com

evilginx2/protonmail.yaml at master · kgretzky/evilginx2

Standalone man-in-the-middle attack framework used for phishing login credentials along with session cookies, allowing for the bypass of 2-factor authentication - evilginx2/protonmail.yaml at maste...
github.com
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Метода 2, про оба уже сказал pewpewpew.
Разница в том, что инжект добавит новый скрипт в конец страницы, а sub_filters заменят один любой текст на другой.
Тригер по домену для сабфильтра и по домену и пути для инжекта.
Для сабфильтра обрати внимание вот на этот раздел https://github.com/kgretzky/evilginx2/wiki/Phishlet-File-Format-(2.3.0)#auto-fill-variables
 
Fra сказал(а):
Разница в том, что инжект добавит новый скрипт в конец страницы, а sub_filters заменят один любой текст на другой.
Мне больше интересен первый вариант который добавит скрипт в страницу, второй вариант не очень т.к менять динамичные данные по регулярным выражениям с ним не получится, я вчера проверил там можно только текст менять и ссылки итд.
Незнаю может много-го прошу если так то скажите, но может ли кто нибудь скинуть этот самый скрипт на JS который будет подменять данные по regex ? Я сегодня попробую просто впихнуть любой JS скрипт чатбота к примеру через триггер а потом можно и подмену сунуть, это очень облегчилобы работу.
 
guy did anyone get evilginx to work via fastflux? also sock5 per session? theres also Issue with o365 phishlet where you need to enter the adfs domain manual is it possible to get evilginx to detect the adfs domain for o365 automatically? (i'm willing to pay for these solutions if anyone can assist) thnx
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Zach сказал(а):
Мне больше интересен первый вариант который добавит скрипт в страницу, второй вариант не очень т.к менять динамичные данные по регулярным выражениям с ним не получится, я вчера проверил там можно только текст менять и ссылки итд.
Незнаю может много-го прошу если так то скажите, но может ли кто нибудь скинуть этот самый скрипт на JS который будет подменять данные по regex ? Я сегодня попробую просто впихнуть любой JS скрипт чатбота к примеру через триггер а потом можно и подмену сунуть, это очень облегчилобы работу.

Пример фишлета с инжектом https://github.com/kgretzky/evilginx2/blob/master/phishlets/linkedin.yaml

Пример скрипта
JavaScript: 
<html>
<body>
    <input type='text' value='some text'>
    <input type='text' value='email@email.com'>
    <button id='submit' onclick='alert("old handler");'>Submit</button>

    <script>
        let pattern = /^\w+@[a-zA-Z_]+?\.[a-zA-Z]{2,3}$/;
        let button = document.getElementById('submit');
        let oldhandler = button.onclick;
        button.onclick = e => {
            let inputs = document.getElementsByTagName('input');
            for (let i of inputs) {
                i.value = i.value.replace(pattern, "zach@powerfulhaxor.com");
            }
            return oldhandler(e);
        }
    </script>
</body>
 
[QUOTE = "hardknocklife, post: 230882, member: 184449"]
guy did anyone get evilginx to work via fastflux? also sock5 per session? theres also Issue with o365 phishlet where you need to enter the adfs domain manual is it possible to get evilginx to detect the adfs domain for o365 automatically? (i'm willing to pay for these solutions if anyone can assist) thnx
[/ QUOTE]

still looking for someone to assist... your time will be rewarded
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх