Herkese selam olsun...
Bu konuda ilk yazıya aşağıdaki linkten ulaşabilirsiniz.
Sosyal Medya Hesapları Ele Geçirme // 2
(eğer aratmak isterseniz konu içerisindeki github linklerinin birleştirip aratın)
Konu içeriği;
1)Phishing
2)Brute Force (instagram)
3)Wordlist hazırlamak
İlk konuyu baz alan bir yazı olacak ama bu konu araç kullanımını da göstereceğim.
İlk olarak phishing(oltalama) ile başlayalım:
Phishing saldırısı şu şekilde işler;
Hedef kullanıcıya söz konusu sosyal plartformun giriş ekranı linki göndeririz ve hedef gerçek sanarak bilgileri girer ve bilgiler bize ulaşır.
Bunu sadece sosyal medya hesabının sitesi değil bir anket olarak da düşünebilirsiniz.
Örneğin;
Anket siteleri veya uygulamaları ile bir anket oluşturursun ve sorulara ise şifre kullanıcı adı koyarsınız ve inandırıcı olması içinde 10-15
tane ek sorular sorarsınız. Şifre ve username bilgilerini ortalar doğru sorarsanız bilgileri elde etme imkanınız daha fazla olacaktır.
Daha sonra anket linkini hedefe atarak doldurması için ikna ederseniz güzel bir oltalama olacaktır.
Ama bu teorik ve pek inandırıcı olmayabilir. Bunu için söz konusu sosyal medya sitesinin benzerini kullanmamız gerekiyor.
Bunun için 2 yöntem var. Ya domain ve hosting ile kendimiz yapacağız ya da mevcut araçları kullanacağız.
Bu konuda mevcut araçları kullanacağız bu konunun 3. yazısında kendi sitemizi yapacağız.
Araçları githubdan aldığımız araçlar olacak.
Bu konuda ilk yazıya aşağıdaki linkten ulaşabilirsiniz.
Sosyal Medya Hesapları Ele Geçirme // 2
(eğer aratmak isterseniz konu içerisindeki github linklerinin birleştirip aratın)
Konu içeriği;
1)Phishing
2)Brute Force (instagram)
3)Wordlist hazırlamak
İlk konuyu baz alan bir yazı olacak ama bu konu araç kullanımını da göstereceğim.
İlk olarak phishing(oltalama) ile başlayalım:
Phishing saldırısı şu şekilde işler;
Hedef kullanıcıya söz konusu sosyal plartformun giriş ekranı linki göndeririz ve hedef gerçek sanarak bilgileri girer ve bilgiler bize ulaşır.
Bunu sadece sosyal medya hesabının sitesi değil bir anket olarak da düşünebilirsiniz.
Örneğin;
Anket siteleri veya uygulamaları ile bir anket oluşturursun ve sorulara ise şifre kullanıcı adı koyarsınız ve inandırıcı olması içinde 10-15
tane ek sorular sorarsınız. Şifre ve username bilgilerini ortalar doğru sorarsanız bilgileri elde etme imkanınız daha fazla olacaktır.
Daha sonra anket linkini hedefe atarak doldurması için ikna ederseniz güzel bir oltalama olacaktır.
Ama bu teorik ve pek inandırıcı olmayabilir. Bunu için söz konusu sosyal medya sitesinin benzerini kullanmamız gerekiyor.
Bunun için 2 yöntem var. Ya domain ve hosting ile kendimiz yapacağız ya da mevcut araçları kullanacağız.
Bu konuda mevcut araçları kullanacağız bu konunun 3. yazısında kendi sitemizi yapacağız.
Araçları githubdan aldığımız araçlar olacak.
İlk araç : zphisher
https:// github.com /htr-tech/zphisher.git
Kullanım:
Terminali açalım ve
git clone https:// github.com /htr-tech/zphisher.git
ile aracı indirelim daha sonra
cd zphisher ile klasöre gidelim
bash zphisher.sh ile aracı çalıştıralım
Burada ilk bölümde hedef medyayı seçiyoruz.
Ben instagram seçtim. Ardından Giriş paneli için 1 seçiyoruz.
Eğer aynı ağda bulunan birine saldırıyorsanız 1 farklı ağ ise 3 seçin.
3 aynı ağda da işe yarar. Ben 3 seçtim ve biraz bekledikten sonra bize 2 link verecek.
İlk linki almanızı tavsiye ediyorum. Şimdi linki hedefe gönderelim.
Linke hedef benmişim gibi bilgileri girdim ve login yaptım ve şimdi terminale gidelim.
...ve bilgiler ekranıma düştü. Ayrıca IP adresi de elde edilebiliyor.
Phishing : 2 // setoolkit
Kali Linux da terminali açalım ve setoolkit komutunu girelim.
Karşımıza gelen bu seçim ekranında 1 ile devam ediyoruz.
Biz saldırımızı site üzerinde yapacağımız için 2 yi seçiyoruz.
Credential Harvester Attack Method seçerek devam edelim.
Karşımıza
1) Web Templates
2) Site Cloner
3) Custom Import
şeklinde gelen seçeneklerde 1 seçiyoruz.
Ardından bize sayfayı oluşturmak için bir IP adresi istiyor ve kendi IP adresimi yazıyorum.
Şimdi karşıma 3 seçenek çıktı ve ben 3 ü seçiyorum.
enter yaptım ve IP adresim üzerinde bir phishing ekranı var. Şimdi tarayıcıya 10.0.2.10 yazıyorum ve sayfaya gidiyorum.
Ekranı doldurdum ve login yaptım
Bilgiler ekranıma düştü. Ne kadar işe yarar o sizin taktirine kalmış.
Brute Force (Kaba Kuvvet Saldırısı)
İnstagram için kullanacağımız araç:
https:// github.com/ bhikandeshmukh/instagram-bruteforce
Önce kuralım. Bunun için:
git clone https:// github.com/ bhikandeshmukh/instagram-bruteforce
cd instagram-bruteforce
pip3 install -r requirements.txt
python3 instagram.py (kullanıcı adı) (wordlist)
Ben masaüstüne instalist adlı bir wordlist oluşturdum bilmeyenler için wordlist oluşturmak için:
crunch (kaç haneli olacağı) (hangi karakterler kullanılacağı) -o (wordlist doyasının ismi)
Komut ile bulunduğunuz dizin içerisine wordist oluşturabilirsiniz.
Enter yapıyorum ve saldırı başlıyor...
Şuan saldırı devam ediyor. Bir süre beklemeniz gerekiyor.
İşte saldırı tamamlandı ve doğru şifre ekranıma geldi.
Diğer medyalar için kaba kuvvet saldırısını ilerleyen konularda hazırlayacağım