 |
|
06.12.2019, 21:31
|
|
Познавший АНТИЧАТ
Регистрация: 27.02.2017
Сообщений: 1,312
С нами:
4845950
Репутация:
0
|
|
Приветствую, Друзья и Форумчане!
Сегодня разберём FotoSploit — свежий (2025) инструмент от испанца Cesar-Hack-Gray для проведения фишинговых атак + социальной инженерии против аккаунтов Facebook / Google.
Информация предоставлена исключительно для обучения и анализа уязвимостей. Любое несанкционированное применение подпадает под ст. 272 УК РФ / Computer Misuse Act / GDPR.
Что под капотом- Ядро: старый добрый SocialFish с доработками под
и автоматическим туннелированием через ngrok.
- Лут: IP-адрес жертвы, HTTP headers (User-Agent), примерные Geo-координаты по GeoIP, плюс логин/пароль, если пользователь введёт их на поддельной форме.
- Фишка: «кликабельное откровенное фото» (JPG ≤ 500 KB) с заманчивым описанием и редиректом на реальный YouTube/Facebook, чтобы не вызвать подозрений.
Быстрая установка
Arch Linux / Manjaro
Код:
Код:
# git clone https://github.com/Cesar-Hack-Gray/FotoSploit.git
# mv FotoSploit /root/
# cd /root/FotoSploit
# chmod +x install.sh FotoSploit
# bash install.sh
# ./FotoSploit
Termux (Android)
Код:
Код:
pkg update && pkg upgrade -y
pkg install -y php python2 git
cd $HOME
git clone https://github.com/Cesar-Hack-Gray/FotoSploit
cd FotoSploit
bash install.sh
./FotoSploit
Подготовка поля боя- ngrok
- Если бинари не встали автоматически — качаем под свою архитектуру и кидаем в каталог инструмента (
).
- Приманка-фото
- Любой JPG ≤ 500 KB (разрешение не критично, но 430 × 430 px — оптимум).
- Кладём в
или
(см.
параметр).
- Тест-аккаунт
- Используем песочницу, чтобы не «стрельнуть» по продакшен-учётке.
Стартуем атаку
Код:
Код:
> show options
> set foto /root/pic.jpg
> set title "Моё откровенное фото здесь"
> set view YOUTUBE # либо FACEBOOK
> show options # проверяем
> go
- Дожидаемся, пока скрипт прогрузит картинку без ошибок.
- Получаем ссылку вида
Код:
https://hbhg2fg1.ngrok.io/id=1.php
.
- Лайфхак: обфусцируйте URL (bit.ly, рекламный редирект, Base64 и т.д.), чтобы он выглядел правдоподобно.
Когда жертва переходит по ссылке, видит заставку 18+ и форму логина. Пока «тело думает», на вашей консоли уже лежат IP, User-Agent и гео-данные:
Если жертва всё же авторизуется — логин+пароль записываются в
Код:
sites/credentials.txt
, а она попадает на реальный YouTube-канал:
Как это детектировать и отбиться
Техника защитыСуть2FA / FIDO2Даже при краже пароля злоумышленник не пройдёт второй фактор. Проверка URLОфициальные Facebook/Google-адреса всегда .com/ без
, bit.ly и лишних параметров. Браузер-алертыChrome/Edge помечают HTTP-формы «Небезопасно». Блокировка ngrokWAF или адресные ACL на
. Тренинги по фишингуРаз в квартал прогоняйте сотрудников через simulated-phish-кампании.
Юридический момент- РФ: несанкционированный доступ (ст. 272 УК), до 6 лет лишения свободы.
- ЕС: директива 2013/40/EU + GDPR (штрафы до 20 млн € или 4 % оборота).
- Pen-test ≠ взлом: нужен письменный договор и чёткое согласие владельца системы.
Итоги- FotoSploit — удобный конструктор фейковых страниц, но ничего принципиально нового: SocialFish + ngrok + JPG-приманка.
- Полезен только в рамках легального Red Team/Phishing-Simulation с согласием заказчика.
- Защититься помогают базовые меры — 2FA, фильтрация туннелей и здравый смысл пользователя.
Будьте этичными. Знание атаки — первый шаг к обороне.
До новых встреч, всем удачи и безопасных дорог в сети! |
|
|
07.12.2019, 02:59
|
|
Новичок
Регистрация: 23.11.2019
Сообщений: 0
С нами:
3406980
Репутация:
0
|
|
Только Фейсбук и Гугл?? Вк например ??
|
|
|
|
07.12.2019, 23:15
|
|
Новичок
Регистрация: 20.11.2018
Сообщений: 18
С нами:
3938041
Репутация:
0
|
|
swen8819 сказал(а):
Только Фейсбук и Гугл?? Вк например ??
Вроде как можно, если веб часть переписать под вк. Еще исходники нужны FotoSploit
|
|
|
|
08.12.2019, 12:01
|
|
Новичок
Регистрация: 05.12.2018
Сообщений: 0
С нами:
3915437
Репутация:
0
|
|
Обсуждение есть на телеге.
|
|
|
|
09.12.2019, 21:55
|
|
Новичок
Регистрация: 21.04.2010
Сообщений: 0
С нами:
8451709
Репутация:
0
|
|
Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot. Или лыжи не едут, или что-то с руками
|
|
|
|
10.12.2019, 18:13
|
|
Новичок
Регистрация: 07.09.2019
Сообщений: 0
С нами:
3517796
Репутация:
0
|
|
Идея зачетная, но зачем все так усложнять? Не легче ли самим прописать несколько строчек open graph на фишере?
|
|
|
|
12.12.2019, 23:16
|
|
Новичок
Регистрация: 05.05.2019
Сообщений: 0
С нами:
3697991
Репутация:
0
|
|
Vertigo сказал(а):
Теперь смотрите,здесь ещё один секрет для Linux:
чтобы она отработала как положено,её приводим к виду
Код:
https://hbhg2fg1.ngrok.io/id=1.php
Можно сделать ещё красивее:
Сайт iplogger.org
На нём есть сервис, который сокращает ссылки
Самое интересное, что можно в конце ссылки указать "расширение",
приведя ссылку, например, к виду
Яндекс
Найдётся всё
iplis.ru
|
|
|
|
14.12.2019, 22:23
|
|
Новичок
Регистрация: 14.12.2019
Сообщений: 0
С нами:
3377230
Репутация:
0
|
|
Привет! При попытке установить фото:
 |
|
|
|
15.12.2019, 11:40
|
|
Познавший АНТИЧАТ
Регистрация: 27.02.2017
Сообщений: 1,312
С нами:
4845950
Репутация:
0
|
|
Rapira сказал(а):
Не прикрепляет фото и ngrok выдает ссылку на localhost. Тестил на kali и parrot.
На Kali nethunter по идее должен работать,на стандартной Kali может не пойти.
Parrot обновлённый тоже может не потянуть из-за версий установочных пакетов.
LTD сказал(а):
Привет! При попытке установить фото:
скрипт ngrok попробуйте скопировать в директорию bin
|
|
|
|
15.12.2019, 14:17
|
|
Новичок
Регистрация: 14.12.2019
Сообщений: 0
С нами:
3377230
Репутация:
0
|
|
Vertigo сказал(а):
скрипт ngrok попробуйте скопировать в директорию bin
Помогло, но теперь фото не хочет грузить. 3 разных варианта, разных размеров до 430х430. В чём косяк?(
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
