Wpis z mikrobloga

a mircy się produkują XD

@m4kb0l: Myślisz, że kogokolwiek tutaj obchodzi OP i jego bait? xD

+ lewy DNS w sieci, kierujący na fecebook czy inną kombinację.

@tellet: lewy DNS nie może cię skierować na fecebook, nie tak działa DNS. Upieracie się przy tym a nie rozumiecie, że DNSem możecie zmienić gdzie ruch pójdzie ale nie co w nim jest.

@GienekZFabrykiOkienek: dostęp - tak, admina - zależnie od przeglądarki ( ͡° ͜ʖ ͡°) Firefox korzysta ze swojej bazy CA, którą można modyfikować z normalnego konta

@msgdn: Bez różnicy w sumie, do domowej windy jak masz dostęp to masz też admina ¯\_(ツ)_/¯

@teddybear69: Wystarczy złamać klucz prywatny Facebooka. Powodzenia!

@teddybear69: jak ma 2FA to se możesz ;)

@GienekZFabrykiOkienek: Ok, HSTS komplikuje sprawę, ale z drugiej strony to w sumie zmienia tylko podanie ofierze linka, bo wystarczy strona + LE.
10 minut roboty i masz swojego facebooka. Link podsyłasz w mailu np. z emkei czy innego mailera, jak miliony innych botów z paczkami DPD/UPS/zieloną kartą/milionami do odbioru, na które nabierają się miliony innych debili niesprawdzających adresów...
User wchodzi na stronę z kłódką z LE i podaje swoje dane. PrzeglądarkaPokaż całość

@tellet: tu jest URL inny to nikt się na to nie nabierze

@Kryptonim_Janusz: No #!$%@? pewnie że jest, po co miałbym kupować domenę żeby udowodnić coś wykopkom z portalu z pedofilią i memami z papieżem?

Do samego zagadnienia można podchodzić albo bardzo technicznie i kopać się z koniem w postaci szyfrowania, albo na łatwiźnie i skupić się na tym, by ofiara kliknęła w lewy link, a to jest znacznie prostsze niż kryptografia..

@teddybear69: a nie latwiej go zapytac o to haslo?

10 minut roboty i masz swojego facebooka. Link podsyłasz w mailu np. z emkei czy innego mailera, jak miliony innych botów z paczkami DPD/UPS/zieloną kartą/milionami do odbioru, na które nabierają się miliony innych debili niesprawdzających adresów...

@tellet: Na pewno ci to ktoś kliknie, nie ma szans, żeby twój szatański plan skończył w spamie xD

a nie latwiej go zapytac o to haslo?

@progressive: To jest chyba plan o największej szansie powodzenia w całym tym wątku xD

@teddybear69: Jest jedna metoda, która prawdopodobnie zadziała i nawet nie wymaga żadnego łamania zabezpieczeń, czy nawet większej wiedzy z IT. Przyda się kij bejsbolowy i najlepiej dwóch stałych bywalców siłowni z doświadczeniem na bramkach w klubach.

Pokaż spoiler

@teddybear69: moze prst spytaj sie go czy cs, nwm mż ci pwie hasło?????

Czy tu właśnie ma miejsce zebranie tej poważanej w kręgach pen testerów grupy anonymause polska?

Na pewno ci to ktoś kliknie

@GienekZFabrykiOkienek: Typie ludzie wysyłają cały majątek na leczenie chorego Clinta Eastwooda, wykopki ślą kasę naciągaczowi, a ty myślisz że jakiś losowy typ nie kliknie linka?

@tellet Ale HSTS nie pozwoli wyświetlić FB bez HTTPS...

@szcz33pan co Ci da arp poisoning jak przeglądarka będzie krzyczeć że nie wpuści bez HTTPS, tak działa HSTS xD

Mam wrażenie że połowa wykopkow co się tutaj wypowiada nigdy MITM nie robiła nawet w labach, a ostatnie co czytalo na ten temat to chyba #!$%@? "szkoła hakerów" 15 lat temu xD

@teddybear69: chcesz złamać prawo i jeszcze masz pretensje, że ludzie Ci nie chcą pomóc xD a co do takich rzeczy to był taki dodatek do przeglądarki Gumshoe więc jak mu zainstalujesz, poczekasz jakis czas i znowu wbijesz na jego urządzenie to ten dodatek Ci pokaże wszystkie hasła jakich używa

@tellet wnioskując o certyfikat w letsencrypt dla takiej domeny, to tylko kwestia czasu kiedy zostanie zgłoszona do Google Safe Browsing. Takie rzeczy się chowa za z pozoru "niewinna" domeną i certyfikatem z wildcard. W efekcie masz np Facebook.com-logowanie.online. A dlaczego? Bo wszystkie certyfikaty SSL są publiczne (certificate transparency) i z automatu wyszukiwane są w nich domeny phishingowe przez wiele firm (w tym również niezależnych threat hunterów i researcherów). W momencie kiedy wnioskujeszPokaż całość

@teddybear69: Odpowiadam - nie da się bo ruch jest szyfrowany. Kiedyś dało się przechwycić pakiety, ale już nie działa. Albo to bait albo nie wiesz co mówisz.

Typie ludzie wysyłają cały majątek na leczenie chorego Clinta Eastwooda, wykopki ślą kasę naciągaczowi, a ty myślisz że jakiś losowy typ nie kliknie linka?

@tellet: Nie, konkretny losowy typ raczej nie kliknie linka. Scamming przez maila to gra liczb - wysyłasz do miliona licząc, że znajdzie się 100 debili którzy klikną. Szansa, że współlokator nabierze się na coś takiego jest mała.

Mam wrażenie że połowa wykopkow co się tutaj wypowiada nigdy MITM nie robiła nawet w labach, a ostatnie co czytalo na ten temat to chyba #!$%@? "szkoła hakerów" 15 lat temu xD

@R4vPL: Widzieli 10 lat temu jak Hindus na YT klika w Ettercapa a mądrzą się jakby codziennie hakowali NSA. Tacy to programiści15k sami na wykopie xD

@teddybear69: nie da rady bez ingerencji w sprzęt lokatora (jakiś nawet najprostszy keylogger czy inne gówno wiecie ocb)

@R4vPL: ale pozwoli zmienic wpisy w dns na inne. Po wpisaniu facebook.pl wejdzie na jego podstawiona stronke wyglądajaca na fejsa i po wpisaniu danych ma dostep.

@szcz33pan jak zamierzasz zmusić przeglądarkę do redirecta na taką stronę, jeśli Facebook zwraca header "Strict-Transport-Security", który powoduje, że przeglądarka nie zaakceptuje połączenia przez HTTP? Nawet jak podstawisz na swój IP na którym dasz 302 albo 301 to c***a Ci to da bo wyskoczy error w Chrome na czerwono, że połączenie jest niebezpieczne i HSTS error. Doczytaj specyfikacje i jak to działa a później pisz w necie bzdury https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security

W dodatku Facebook jest domyślnie w Chrome już załadowany w "preload hsts", czyli nawet nie musi wejść na fejsa żeby przeglądarka "wiedziała", żeby nie zezwalać na połączenia przez HTTP. https://hstspreload.org/?domain=facebook.com

@teddybear69: fejs leci po httpsie i nic ci nie da sluchanie tego, jesynie postowanie zdjec na instagrama lata nadal po http i mozesz łapac requesty gdzie moze bedzie user id to sobie namierzysz jego profil.
Chcesz jego dane logowania to dns spoofing na twój ruterek, stawiasz na localhoscie mirror strony do logowania na fejsie z przekierowaniem na oryginalna i czekasz az sie zaloguje a ty sobie odczytasz zapisane hasło.

Pokaż spoiler

@Canova ale jak zamierzasz zrobić przekierowanie z facebook.com na localhost, jeśli przeglądarka będzie wymagać HTTPS?

@teddybear69: Ja lata temu miałem dystrybucje linuxa : KALI LINUX. I na nim testowo na protokole WEP i bez https widziałem jakie nawet obrazki były wczytywane i co przeglądałem. Hasła też dało się odczytać. Teraz weszło WPA 2 i https więc bez maszyny z ogromną mocą deszyfracji nie masz szans. Chociaż coś czytałem ze udało się komuś złamać WPA 2.

@teddybear69: Takim softem z torrenta: "Loguj się i spadaj. 3, 2, 1..." ( ͡° ͜ʖ ͡°)
To nie gadu-gadu z lat 2000-2005 że hakera se pobierzesz.

@R4vPL chrome tak, z tego co pamiętam Firefox i reszta nie wywalała błędu o braku https

Pokaż spoiler

Kiedyś chyba można było podpiąć losowy wygenerowany certyfikat ale tu nie jestem pewien do końca

@teddybear69: jasne, że się da:
- stawiasz swój serwer w sieci lokalnej
- na nim odpalasz stronkę przypominającą FB
- przekierowujesz ruch DNS na swój adres lokalny
- przechwytujesz dane logowania

@groman43: bo 15 lat temu sie dalo i OP sie wtedy zatrzymal w rozwoju

@teddybear69: ale wiesz, że to co chcesz zrobić to przestępstwo? ( ͡° ͜ʖ ͡°)

@teddybear69: Kilkanaście lat temu FB nie wymuszał połączenia przez SSL i mogłeś przejąć ciasteczko uwierzytalniające. Obecnie to tylko ataki MiTM w połączeniu z StripSSL i tak jak ktoś pisał wyżej, przekierowanie zapytań DNS na swój serwer DNS, i stripssl, musisz się pozbyć połączenia po SSL i przekierować ruch na inną domenę, bo podpisanego certyfikatu SSL dla domeny facebooka nie uzyskasz.