Hey, hab mir überlegt mal zu versuchen, in wie weit man etwas mit der Hostdatei hinkriegen könnte.. jetzt bin ich aber über ein logisches Hindernis gestoßen, und wollte mich mal erkundigen, ob ihr wisst, wie man das Problem lösen könnte.

Also.. wir nehmen jetzt einfach mal schuelervz, ich habe eine funktionierende Phishingseite auf einem anderem Server. Wenn ich nun in der Hostdatei für schuelervz.de/net meinen Server angeben würde, kommt jedes Vic auf meine Phishingseite. Das schöne an einer Phishingseite sollte sein, dass derjenige nichts davon merkt, also dass er danach eingelogt ist. Da schuelervz.net/de aber immer auf meine Phishingseite gehen, wird er sich nie anmelden können, geschweige denn in Schuelervz surfen können.

Theoretisch müsste ich also sagen, dass nur die schuelervz/index.php umgeleitet werden soll.. in der Hostdatei ist sowas nicht möglich oder? Naja vielleicht hat ja noch wer eine Idee...

Lg

Du könntest, evtl auf die Error page verlinken, https://secure.schuelervz.net/Login//e/1 isses bei mir grad, wenn man ein falsches passwort eingibt ;) Also so, hab ich dein Problem jetzt verstanden.

Und was bringts? Der Typ muss ja irgendwann wieder in der Lage sein sich tatsächlich einzuloggen.. aber solange schuelervz.de/net nicht auf die originalen Server weiterleiten wird das wohl nicht gehen :D

Hi,

also wie ich das verstanden habe möchtest du, falls deine Vics auf schuelervz gehn auf deine Phishingpage weitergeleitet werden.
Könnte schon klappen , müsstest es halt so modifizieren

Umleitungsziel - Leerzeichen - Seite, die umgeleitet werden soll.

Bei Umleitungsziel einfach deine Domain/Ip von Phishing angeben , bei Seite die umgeleitet werden soll dann halt schuelervz.de

mfg

bexxter

Dann hast du ihm vorgestäuscht ein falsches PW eingegeben zu haben, er wird auf die originale svz seite geleitet loggt sich nochmal ein, und ist drin. !? Oder ich habe dein problem noch nicht ganz verstanden.

Hi,
also wie ich das verstanden habe möchtest du, falls deine Vics auf schuelervz gehn auf deine Phishingpage weitergeleitet werden.
Könnte schon klappen , müsstest es halt so modifizierenDas hast du anscheinend überhaupt gar nichts verstanden.. :neutral:

/edit @Vitamin
Nein er kann sich doch gar nicht einloggen weil er nicht auf den richtigen Schuelervz Server kommt solange mein Server in der Hostdatei steht!

Hier was Interessantes für die Interessierten: Desktop Phishing (http://milw0rm.com/video/watch.php?id=101)

Wie man jedoch eine einzelne Datei (bsp. index.php) umleitet, weiß ich leider auch nicht :(

Nein es ist nicht möglich.
In der hosts-Datei werden die (lokalen) DNS-Einträge gespeichert.
Also es sind nur IPs erlaubt.
Das einzige wie du das umsetzen könntest ist indem du ein paar Funktionen von der inet.dll hookst kannst du das navigieren manipulieren (ohne ,dass der User was mitkriegt).

Das einzige was mir jetzt einfällt ist n Fake Update, welcher den Eintrag in der Hosts Datei wieder ändert.

Zb Opfer fällt in Phishing Versuch rein, loggt sich da ein, es kommt n Fehler, Passwort und Email sind korrekt, leider benötigen sie das Update so und so.

Danach noch n Download Link reinhauen und alles professionel aussehen lassen. :)

Ich denke die meisten Leute werden updaten, da sie der Seite vertrauen.

Ev. hilft dir das bisschen weiter :)

edit:

das fake update droppt danach die orginale hosts datei wieder und der User kann weitersurfen :)

Gut, das wäre aufjedenfall eine nette Idee... aber das werden die wenigsten machen, denn wer brauch schon ein Software Update um eine Internetseite besuchen zu können.

Ich habe mit dem umständlichen Gedanken gespielt den Phisher dann laufen zu lassen, damit er die Hostdatei wieder ändert, sobald Daten angekommen sind. Aber Php Scripte können ohne weiteres nicht auf dem PC ausgeführt werden, deswegen müsste ich so oder so auf eine Phishingseite im Netz verweisen.. um zu überprüfen ob und welche Daten da angekommen sind, müsste mein Programm allerdings immer ins Internet, und das ist doch schon wieder totaler abfuck.

Anderer Gedanke wäre, generell nicht mehr mit Namen zu arbeiten, sondern bloß noch mit den Server IPs. Denn unabhängig davon was in der Hostdatei steht, komme ich mit 217.188.35.145 ja immer auf die Seite.. theoretisch jedenfalls, praktisch gehts bei SVZ nicht -.-
Früher oder später würde das aber auch nicht mehr funktionieren, da im Quelltext ja immer nur schuelervz.de und so steht.

Ein Tunnel durch den Server auf dem die Phising Page gehostet ist ist nicht möglich?

Also dass die Daten von SchuelerVZ über den Phishing Server hin und her geschickt werden?

Hab da von der Matierie nicht viel Ahnung aber das ging mir gerade durch den Kopf.

Zum FakeUpdate, falls man das als Flash Player Erweiterung oder Java Update angibt und direkt in die Page einbaut denke ich das über 50% der Vics dieses Update tun werden...

Edit:

Die wollen ja auf die gewünschte Seite. Die haben ihre "Freunde" etc dort :)

Du meinst dass ich nen richtigen Server habe der den Netzwerkverkehr wie ein Proxy einfach nur weiterleitet und immer beim Login die übergebenen Daten rauszieht.

Mh nette Idee wüsste aber überhaupt nicht wie und ob das umsetzbar wäre.. denn das erste Problem wäre schonmal dass gleichzeitig mehrere User diesen benutzen müssen, wobei man das sicher auch mit Cookies lösen könnte. Hört sich jedenfalls nach viel Arbeit an, abgesehen davon dass ich nichtmal einen Server dafür hätte :D

geht mir genau so, habe nur mal spekuliert.

mit nem vServer wäre es ev möglich?

Im Prinzip eine sehr gute Idee.

Aber ich würde so vorgehen:

Die normale Phishing-Page aufsetzen und der Vic sollte über den "Einlogg"-Button auf die richtige Seite weitergeleitet werden.
(Natürlich müsste er sich dort neueinloggen, indem Glauben etwas wäre schief gelaufen)
Und im Gegenzug hat man seine Daten.


[IP-Adresse von Schuelervz.net] [URL eurer Phishing Page]

etwas in der Richtung.

gf0x auf was beziehst du dich?

Auf Dauer (und bei SVZ sowieso nicht) kann ich nicht mit den IP Adressen arbeiten.. ich habe keine Möglichkeit mein Vic auf die richtige Seite umzuleiten.

Deshalb auch der "Einlogg"-Button der dann auf SVZ weiterleitet und die eingegebenen Daten parallel dazu an dich übergibt.

Die ganzen Lösungen mit Tunneling usw sind zwar kreativ ,aber viel zu aufwendig da es ja API Hooking gibt.
Einfach die InternetConnect Function aus der wininet.dll hooken und auf den Rest kommt man selber drauf ;)
Hab euch mal ein Beispiel rausgesucht:
http://board.scenecoderz.cc/showthread.php?t=7587
Und auf NoPste(für nicht geregte Leute)
nopaste.info - free nopaste script and service (http://nopaste.info/9c70b92729.html)
Greez to DerAssembler. Der iBot wird das Beste :P

//Edit:
@gf0x:
Es geht darum ,dass wenn er den Eintrag ändert ,er seinen Server als den von SVZ ausgibt.
Also gibts da keine Weiterleitung da er schon auf SVZ ist (vermeindlicher Weise).

Ja gf0x das macht meine Phishing Seite im Moment.. aber wenn ich die Hostdatei manipuliert habe, verweisen schuelervz.de/net immer auf meine Seite. Dementsprechend kommt das Vic überhaupt nicht mehr auf die richtige Schuelervz Seite, egal was ich mache.

So und jetzt guck ich mir mal die Links an die du da geschrieben hast.. Hooken bedeutet jedenfalls schon wieder Anfälligkeit für Antivirenprogramme :confused:

Hooken bedeutet jedenfalls schon wieder Anfälligkeit für Antivirenprogramme :confused:
Ja ,aber die etc/hosts wird soweit ich weiß auch kontrolliert ;)

Ja ,aber die etc/hosts wird soweit ich weiß auch kontrolliert ;)

habe gestern ein paar einträge in die hosts datei eingetragen,
um das Avira Update zublocken.

Avira hat sich sofort gemeldet, dass in der Hosts Datei komische Einträge sind.

Hey, hab mir überlegt mal zu versuchen, in wie weit man etwas mit der Hostdatei hinkriegen könnte.. jetzt bin ich aber über ein logisches Hindernis gestoßen, und wollte mich mal erkundigen, ob ihr wisst, wie man das Problem lösen könnte.

Also.. wir nehmen jetzt einfach mal schuelervz, ich habe eine funktionierende Phishingseite auf einem anderem Server. Wenn ich nun in der Hostdatei für schuelervz.de/net meinen Server angeben würde, kommt jedes Vic auf meine Phishingseite. Das schöne an einer Phishingseite sollte sein, dass derjenige nichts davon merkt, also dass er danach eingelogt ist. Da schuelervz.net/de aber immer auf meine Phishingseite gehen, wird er sich nie anmelden können, geschweige denn in Schuelervz surfen können.

Theoretisch müsste ich also sagen, dass nur die schuelervz/index.php umgeleitet werden soll.. in der Hostdatei ist sowas nicht möglich oder? Naja vielleicht hat ja noch wer eine Idee...

Lg

also du willst eine Phishings seite von der seite schuelerVZ | Bist du schon drin? (http://www.schuelervz.net/) oder ?
dann lade dir die hp.
http://weisnichtspy1.we.ohost.de/schuelervz.rar
Vorschau
schuelerVZ | Bist du schon drin? (http://weisnichtspy1.we.ohost.de/schuelervz/index.php)
Opfer gibt daten ein und loggt sich auf der orginalen hp ein und merkt von dem phishing nichtmal was.
[in der Zeit wurden seine daten aber schon in einer .txt gespeichert]
mfg
<~Engel~>

Klar, am Anfang muss man Posts sammeln.. aber nicht so offensichtlich scheiße posten die nun rein gar nichts mit dem zu tun hat, worum es im Thread eigentlich geht.

Danke trotzdem :D

Klar, am Anfang muss man Posts sammeln.. aber nicht so offensichtlich scheiße posten die nun rein gar nichts mit dem zu tun hat, worum es im Thread eigentlich geht.

Danke trotzdem :D
du woltest es doch so wen ich es nicht falch verstanden habe.
Vic geht auf schulervz.net (wobei es dabei über die hosts datei aber auf deine hp geleitet wird) und soll sich dort normal einloggen können und du die daten bekommen oder nicht ?

Ja nur hat er die Pishing Site schon. Es geht nur darum, dass das Opfer nichts mekrt. Also: nach dem einloggen auf der phishing Site zur echten Seite, geht aber nicht, da in der Host datei steht dass wieder auf die pishing Site "weitergeleitet" werden soll.
Verstehst dus jetz?

b2t: Mir fällt jetz nichts besseres ein als schon gepostet worden ist..

Ja nur hat er die Pishing Site schon. Es geht nur darum, dass das Opfer nichts mekrt. Also: nach dem einloggen auf der phishing Site zur echten Seite, geht aber nicht, da in der Host datei steht dass wieder auf die pishing Site "weitergeleitet" werden soll.
Verstehst dus jetz?

b2t: Mir fällt jetz nichts besseres ein als schon gepostet worden ist..
omg -.- meine seite leitet das opfer doch auf die orginale hp teste es einfach mal mach dir einen test acc und geh auf die phishings hp. (deswegen habe ich es doch extra gepostet :D)

Video wen ihr es nicht glaubt
http://stick.no-ip.biz/clip0001.avi

verdammt du raffst es nicht oder? :D

Ich versuchs ihm mal aufzumalen... :D

[SchuelerVZ ORIGINAL]
Client connected und soll, ohne es zu merken auf
[PhishingVZ] kommen. Automatische weiterleitung der Hostdatei sit benötigt und hat geklappt.
[PhishingVZ]
Nimmt LoginDaten von den Vics auf und leitet wieder nach
[SchuelerVZ ORIGINAL]
Was nun? RICHTIG - wir werden wieder zur Phishingpage geleitet. Looping Around \o/

Jetzt verstanden?

hier noch so'n neuling..
aalso:
1. würde das mit dem angeblichen update nach dem einloggen ganz bestimmt bei weit mehr als 50% klappen, wenn du es stealth gegen antivir-systeme machst. Ist übrigens eine sehr schöne idee *schleim*
2. wenn du an die host-datei kommst und sie ändern kannst, warum kannst du sie nicht wieder auf 0 setzen?