Jemand hat letztens versucht mich zu phishen. Habe mich aus Neugier einfach mal auf der Seite umgeguckt, und dachte mir dabei: "Wie könnte ich den jz richtig ärgern?" ^^
Eine Idee wäre natürlich die Logs mitzulesen. Hat jemand 'n paar Ideen wie? Habe erstmal an Google Dorks gedacht oder den Lognamen zu erraten xD
Oder kennt jemand auch noch 'n paar andere Methoden 'n Phisher bissl' auf 'n Sack zu gehen? Bin offen für alles :P

MfG

Dailox

Naja, zunächst solltest du vllt versuchen rauszufinden was mit den Daten gemacht wird.. wenn sie in einem Log landen aufm Server, kannst du damit was anstellen.. wenn er sich die Login daten dann aber per Email zuschicken wird, haste da halt kein Zugriff.

Meine Idee wäre nun folgendes:

1) Proxys besorgen
2) Automatisiert alle paar Minuten / Stunden Daten per Request hinschicken (log vollspammen mit falschen daten die aber legit ausschaun)
3) Zuschauen wie der Kerl sich ärgert weil er jetzt die Logindaten Manuell tryn muss falls er kein Account Checker hat. Ich gehe aber aus das jeder der das ganze ein bisschen "Serious Butter" macht entsprechende Acocuntchecker hat.. weil grade wenn Leute sehen "Das is ne Phishing Seite" sie halt dort dann fake daten eingeben und das allgemein bekannt ist..


Einzige Möglichkeite wäre halt imho entweder das Login vollspammen mit Falschen Daten (und das so, das es gut gemixt ist.. falsche und richtige daten wohlmöglich abwechselnd), oder halt irgendwie versuchen ne Sicherheitslücke zu finden um dann das Logfile zu löschen.. oder halt das Phishing Script zu verändern, so das er nur noch falsche Daten loggt (oder halt komplett den Server dicht machen indem du da illegalen shit drufpackst & ne abuse rausschickst an den Provider). Alternativ einfach dem Hoster ne abuse schreiben "phishing site, bitte vertrag mit der person kündigen danke" o.ä.. Aber all das wird halt den Phishier nicht aufhalten, nur ärgern - aber das wolltest du ja *g*

p.s: Auch ne Idee wäre vllt das Script so umzuschreiben das es die Leute die dort ihre Daten eintragen wollen drauf hinweist das es halt ne Phishing Seite ist (und das Script zu modifizieren das es nix mehr logt).. alternative wäre vllt die Emails zu speichern und dann die Leute drauf hinzuweisen das sie ihr PW changen sollten. Quasi dem Phishier aufn Keks gehen indem man die Opfer drauf hinweist was da ablief^^

grüße

Naja, zunächst solltest du vllt versuchen rauszufinden was mit den Daten gemacht wird.. wenn sie in einem Log landen aufm Server, kannst du damit was anstellen.. wenn er sich die Login daten dann aber per Email zuschicken wird, haste da halt kein Zugriff.

Meine Idee wäre nun folgendes:

1) Proxys besorgen
2) Automatisiert alle paar Minuten / Stunden Daten per Request hinschicken (log vollspammen mit falschen daten die aber legit ausschaun)
3) Zuschauen wie der Kerl sich ärgert weil er jetzt die Logindaten Manuell tryn muss falls er kein Account Checker hat. Ich gehe aber aus das jeder der das ganze ein bisschen "Serious Butter" macht entsprechende Acocuntchecker hat.. weil grade wenn Leute sehen "Das is ne Phishing Seite" sie halt dort dann fake daten eingeben und das allgemein bekannt ist..


Einzige Möglichkeite wäre halt imho entweder das Login vollspammen mit Falschen Daten (und das so, das es gut gemixt ist.. falsche und richtige daten wohlmöglich abwechselnd), oder halt irgendwie versuchen ne Sicherheitslücke zu finden um dann das Logfile zu löschen.. oder halt das Phishing Script zu verändern, so das er nur noch falsche Daten loggt (oder halt komplett den Server dicht machen indem du da illegalen shit drufpackst & ne abuse rausschickst an den Provider). Alternativ einfach dem Hoster ne abuse schreiben "phishing site, bitte vertrag mit der person kündigen danke" o.ä.. Aber all das wird halt den Phishier nicht aufhalten, nur ärgern - aber das wolltest du ja *g*

p.s: Auch ne Idee wäre vllt das Script so umzuschreiben das es die Leute die dort ihre Daten eintragen wollen drauf hinweist das es halt ne Phishing Seite ist (und das Script zu modifizieren das es nix mehr logt).. alternative wäre vllt die Emails zu speichern und dann die Leute drauf hinzuweisen das sie ihr PW changen sollten. Quasi dem Phishier aufn Keks gehen indem man die Opfer drauf hinweist was da ablief^^

grüße

Stimmt :D Dass ich da nicht dran gedacht habe :confused: Danke ^^




Naja, zunächst solltest du vllt versuchen rauszufinden was mit den Daten gemacht wird.. wenn sie in einem Log landen aufm Server, kannst du damit was anstellen.. wenn er sich die Login daten dann aber per Email zuschicken wird, haste da halt kein Zugriff.


Wenn die Logfile auf'm Server liegt, gibt's da noch 'ne andere Möglichkeit darauf zuzugreifen als Google, erraten, oder so? (Riesen Sicherheitslücke habe ich nicht gefunden)

Wenn die Logfile auf'm Server liegt, gibt's da noch 'ne andere Möglichkeit darauf zuzugreifen als Google, erraten, oder so? (Riesen Sicherheitslücke habe ich nicht gefunden)

Ich sags mal so.. du könntest versuchen den Filename zu bruten.. so wie mans vllt für Ordner machen kann mit dirbuster.
Müsste denke ich gehen..dürft aber ziemlich auffällig in den Serverlogs sein :D

Bei Google hast halt das Problem das du den Google Crawler Bots sagen kannst "Liste das nicht, und durchsuchs auch nicht".. quasi nofollow, noindex.
Da wirste also wenn jemand bissel Ahnung hat das nicht in Google finden.. was du vllt machen könntest wäre zu versuchen ne andere Suchmaschine zu suchen wo die nofollow / noindex nicht berücksichtigt. Aber sofern die File nirgendwo verlinkt ist, werden diese die auch nicht finden^^

Also Bruten könnte man versuchen, aber sonst wüsste ich keine Möglichkeit. Einfachste wäre zu versuchen FTP Zugriff zu erhalten oder sonstwie eine Sicherheitslücke zu finden um Zugriff direkt aufs Dateiverzeichnis zu bekommen. Am einfachsten wäre eine PHP Injection wo du eigenen PHP Code injecten kannst.. da kannst du dir dann die Ordnerstrukur anzeigen lassen usw.
Vllt könntest du da versuchen ne PHP Shell hochzuladen irgendwie ;)

grüße

Ich sags mal so.. du könntest versuchen den Filename zu bruten.. so wie mans vllt für Ordner machen kann mit dirbuster.
Müsste denke ich gehen..dürft aber ziemlich auffällig in den Serverlogs sein :D

Bei Google hast halt das Problem das du den Google Crawler Bots sagen kannst "Liste das nicht, und durchsuchs auch nicht".. quasi nofollow, noindex.
Da wirste also wenn jemand bissel Ahnung hat das nicht in Google finden.. was du vllt machen könntest wäre zu versuchen ne andere Suchmaschine zu suchen wo die nofollow / noindex nicht berücksichtigt. Aber sofern die File nirgendwo verlinkt ist, werden diese die auch nicht finden^^

Also Bruten könnte man versuchen, aber sonst wüsste ich keine Möglichkeit. Einfachste wäre zu versuchen FTP Zugriff zu erhalten oder sonstwie eine Sicherheitslücke zu finden um Zugriff direkt aufs Dateiverzeichnis zu bekommen. Am einfachsten wäre eine PHP Injection wo du eigenen PHP Code injecten kannst.. da kannst du dir dann die Ordnerstrukur anzeigen lassen usw.
Vllt könntest du da versuchen ne PHP Shell hochzuladen irgendwie ;)

grüße

Jo, bruten ist natürlich sehr auffällig ^^ Aber in dem Fall ist es ja eigentlich Schnuppe.. zu den Cops kann er ja nicht gehen ^^ "Hilfe, meine Phishingseite wird angegriffen" :D
Sah übrigens nach jemanden aus, der echt wenig Ahnung hatte ^^

Danke <3


MfG

Dailox

Ein Blick in die robots.txt kann auch manchmal interessant sein. Oft werden ja Verzeichnisse von der Suche ausgeschlossen.

Formular durch automatisiertem Script mit Random-Strings vollspammen

Formular durch automatisiertem Script mit Random-Strings vollspammen

Joa, wäre aber (glaube ich) besser, wenn man den nicht mit Random-Strings vollspammt, sondern mit gängigen Namen und Passwörtern, da es sonst auffällt, wenn er mal wirklich 'n "Erfolg" gemacht hat. Wäre schon lustig, wenn er alle Accounts da durchprobieren muss, wenn er keinen Accountchecker hat, wie Cystasy es ja schon erwähnt hat.




Ein Blick in die robots.txt kann auch manchmal interessant sein. Oft werden ja Verzeichnisse von der Suche ausgeschlossen.

Jo, ist auch 'ne gute Idee :)


Danke <3

MfG

Dailox

Joa, wäre aber (glaube ich) besser, wenn man den nicht mit Random-Strings vollspammt, sondern mit gängigen Namen und Passwörtern

Die könnte man sich hier in großer Menge besorgen: http://www.fakenamegenerator.com/order.php ;)

Ich hab einfach mal https://github.com/hadley/data-baby-names & http://www.census.gov/topics/population/genealogy/data/2000_surnames.html genommen
Und dann irgendwie sowas


cat first_names | sort -R | head --lines=1 | grep -o '[a-zA-Z]*' | head --lines=1
cat app_c.csv | sort -R | head --lines=1 | grep -o '[a-zA-Z]*' | head --lines=1


Das geht bestimmt auch schneller (oder am besten in einer Programmiersprache deiner Wahl) sollte aber reichen um nicht auf irgendwelche externen Quellen aufzubauen (obwohl die Auswahl der Namensliste von fakenamegenerator echt cool aussieht).