Wpis z mikrobloga

@teddybear69: to jest szyfrowany ruch - nie da rady

@teddybear69 "MITM" poczytaj o tym ( ͡~ ͜ʖ ͡°)

@teddybear69: Twój wpis jest naprawdę fascynujący. Proszę rozwiń myśl, dlaczego uważasz, że skoro jesteście w tej samej sieci lokalnej, to na pewno istnieje soft, który może przechwycić takie dane?

@teddybear69: na co To

@teddybear69: Nie da się, ruch jest szyfrowany i nie jesteś w stanie go rozszyfrować. Jedyna opcja to zainstalowanie mu ręcznie certyfikatu - ale tu konieczny jest dostęp do jego urządzeń

@teddybear69 pobrać to sobie możesz naskórek czy wydzielinę do testu ( ͡° ͜ʖ ͡°)

@PrawieJakBordo mylisz się ( ͡~ ͜ʖ ͡°)

@teddybear69: A jak masz dostęp do jego telefonu(40 sekund wystarczy) to jest lepsza opcja na uzyskanie dostępu do jego konta - za odpowiednią opłatą podzielę się sposobem bo fb nie uznał tego za błąd w bug bounty;)

@teddybear69: Nie chcę burzyć Twojego świata, ale zabawny to Ty jesteś. Dzięki za naprawdę fajny początek niedzieli.

@teddybear69 byś był może i śmieszny gdyby nie fakt, że nie jesteś ¯_(ツ)_/¯

@teddybear69 słaby troll z twojej strony, byś się chociaż postarał (－‸ლ)

@teddybear69: Zamiast denerwować się na innych ludzi, najpierw przeczytaj co to MITM jest. Potem proponuję, żebyś poszedł do konta na 15 minut i przemyślał swoje postępowanie. Nie tylko w tym wypadku, zaryzykuję hipotezę, że nie pierwszy raz popełniasz taki błąd.

@teddybear69: co jest z tobą nie tak, że potrzebujesz włamać się na konto współlokatora?

@teddybear69: To ja twój lokator, mam logowanie dwuetapowe ( ͡° ͜ʖ ͡°)

@teddybear69: https://www.letmegooglethat.com/?q=MITM
Sprawdź tutaj ( ͡° ͜ʖ ͡°). Polecam pierwszy wynik.

@teddybear69: #!$%@? zrobisz:)

@teddybear69: Kiedyś było coś takiego jak droidsheep na androida z rootem. Udało mi się w szkole połączyć w związek na fb nauczycielkę i randomowego ucznia oraz poczytać trochę maili ze skrzynki dyrektorki. Przez 10 lat się pewnie wiele zmieniło jeśli chodzi o zabezpieczenia.

Coś mi się wydaje ze op próbuje wbić się na konto swojej różowej, albo jakiejs różowe która dala mu kosza. Za duże ciśnienie zwieracza tutaj wykazuje…. Albo chodzi o seks albo o pieniądze

@teddybear69: nie dorwiesz bo https, nawet podrzucili ci MITMa, ale skoro pytasz "gdzie pobrac ten soft" (XD) to ci sie nie uda skoro nawet nie chcialo ci sie tego poguglowac samemu

@teddybear69 jest jeszcze sslstrip

@teddybear69: Największe mózgi na świecie pracują nad rozwiązaniami, które uniemożliwiają Man in the middle attack. Eksperci w matematyce, informatyce i kryptografii. Ale wykopek uważa że na pewno obejście tego to kwestia pobrania czegoś z torrentów. XDDDDDD
Najgorszy typ ataku w tym przypadku, bo po pierwsze ruch jest szyfrowany, a nie znasz klucza prywatnego, a po drugie jest autoryzacja dwuskładnikowa. Jeśli dalej jesteś taki cwany, to poczytaj, czym jest zasada Kerckhoffsa iPokaż całość

@teddybear69: Emacsem przez Sendmail

@teddybear69: poszukaj sobie softu wannacry i zainstaluj

to jest szyfrowany ruch - nie da rady

@Dbzdur: SSL inspection /SSL striping - wszystko da rade

w tej samej sieci lokalnej, więc na pewno jest jakiś soft którym to można zrobić.

@teddybear69: Mamy zwycięzcę w kategorii "najciekawsza implikacja roku" ( ͡° ͜ʖ ͡°) Warto zbadać, czy da się poznać jego hasło także wtedy, kiedy nosisz koszulkę w tym samym kolorze

@teddybear69: Nie zrobisz tego byle programem, bez minimalnej wiedzy. SSL wykorzystuje tak zwany algorytm Diffie–Hellman'a, aby wygenerować klucze do szyfrowania, tak aby "Man-in-the-middle" (MITM) nie mógł ich odczytać. Więc jeżeli nawet przechwycisz pakiet to go nie odczytasz, bo nie znasz klucza. Są sposoby, ale musisz wiedzić co i jak.

@teddybear69: Da radę, poczytaj o mitm. Z tym że jak ktoś wyżej pisał ruch jest szyfrowany, przeglądarka będzie widziała brak certyfikatu.

@teddybear69: google -> man in the middle ( ͡° ͜ʖ ͡°)

@groman43: kąta*

A jak masz dostęp do jego telefonu(40 sekund wystarczy)

@PrawieJakBordo: Masz na myśli ciasteczka?

@teddybear69: Spóźniłeś się 15 lat. Wtedy faktycznie formularze logowania mogły być przez HTTP.
Musisz zatruć tablicę ARPów, tak aby jego komputer myślał że jesteś routerem, a ty przekierowujesz ruch dalej i podsł#!$%@?.
Najprościej to chyba wziąć DSploit zainstalować na Androidzie, bo tam masz gotowe kliknięcia.

@Dbzdur: Da się, jeżeli zatruje sieć fałszywym certyfikatem a współlokator będzie tak głupi że oleje ostrzeżenie o nieprawidłowym certyfikacie.

@PoIaczek: @PrawieJakBordo: @groman43: @twuj_wuj: Wszystkie takie mundre, oczytane i ę ą, a dajecie zupełnie zły wektor ataku, kurna rzucając się z motyką na słońce HTTPS xD.
Jak są w tej samej sieci i typ ma dostęp do routera, a router to nie mydelniczka od operatora z 2 funkcjami, to może np. zabawić się z DNSami i przekierować facebook.com na swoją stronę. Przecież tu chodzi tylko o to, abyPokaż całość

@tellet: koleś się pyta jak wykonać MITM atak

Podrzucie jakiś szybki sposób na to, żeby na podstawie ruchu sieciowego sprawdzić jakie dane logowania do fejsa ma współlokator.

Odpowiedź jest nie da się.

@tellet: dlatego też rzuciłem pojęcie "MITM" gdyż może odnosić się do wielu wektorów ataku, ale przecież od dawien dawna wiadomo, że jak jesteś w danej sieci podpięty to bardzo łatwo możesz zacząć kontrolować cały przepływ zaczynając od podstawienia fake strony np.: po przez wspomnianą zmianę DNSów do przechwytu samych pakietów wychodzących, także możliwości op ma wiele, ale przecież to tylko słaby bait więc no ¯\_(ツ)_/¯

Istnieje możliwość, żeby to zrobić, ale jak OP myśli, że po prostu zainstaluje jakiś soft i fejsbuk zhackowany no to dla niego się nie da ( ͡° ͜ʖ ͡°)

@teddybear69: nie da się nawet jak mu zainstalujesz własny CA, przechwycisz ruch i będziesz chciał dekodować w locie. Bo facebook ma cert pinning.

@teddybear69: arp spoofing + mitm poszukaj

@PoIaczek: „MITM” - gdzie to można pobrać XDDDDDDDDDDD o jak ryklem

@tellet: Pewnie, że może, ale rozwiązanie nie jest idealne i niewykrywalne. Nie wyświetlisz użytkownikowi poprawnego certyfikatu w ten sposób. Jak mamy się tak bawić, to lepiej chyba podrzucić jakiegoś keyloggera, jak ktoś od komputera odejdzie. Tak czy inaczej, nie jest to rozwiązanie o które prosi OP. OP chciałby poradnik na spryciarze.pl "JAK ZHACKOWAĆ FACEBOOKA 100% DZIAŁA".

dlatego też

@PoIaczek: nie #!$%@?