Чем без палива перехватить пароль от web-формы с ssl, если я контролирую DNS

Discussion in 'Безопасность и Анонимность' started by #viper#, 1 Jun 2012.

  1. #viper#

    #viper# New Member

    Joined:
    31 May 2012
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Всем привет.

    Ломаю голову над задачкой..
    1) есть какой-нибудь сайт, наприимер майлру или вконтакте, авторизация на котором происходит через веб-интерфейс, при этом данные формы отправляются по https. Что бы не рассуждать в стиле если бы да кабы, далее рассматриваем vk.com, логин с паролем которого летять по адресу
    Code:
    https://login.vk.com/?act=login
    2) я навязал жертве свой DNS, т.е. могу заставить жертву считать, что vk.com и login.vk.com живут на том IP адресе, который я сказал.

    3) дедик с живым апачем у меня есть, настраивать на нем Name-based Virtual Hosts я умею.
    4) снифер в сетке жертвы у меня тоже есть.
    5) НО! жертва не идиет, и смотрит в адресную строку браузера. И если в этой строке он видет не vk.com, то парол он не вводит. А если после воода парола он видит не vk.com а какую-то хрень, то он не забивает болт, а начинает разбираться и меняет парол, например, с нетбука, чей DNS я не контролирую.

    Чо делать?

    Обычный фейк не проходит - клиент понимает, что че то не так и добирается до вконтакта через другой комп.

    Фейк с редиректом не работает, так как редиректится сам на себя.

    Снифер не ловит пароли в ssl.

    Мысли куда-то в сторону того, что нуно поднять реверсивный прокси, но блин страничка то логина должна быть моя, а дальше - родное вконтактовское. Ы? А как это сделать блин?
     
    #1 #viper#, 1 Jun 2012
  2. B1t.exe

    B1t.exe Elder - Старейшина

    Joined:
    6 Nov 2006
    Messages:
    1,020
    Likes Received:
    128
    Reputations:
    23
    варинатов тут не много:
    1. сертификат подделывать (только не знаю как.. но это делают вроде), этот сертификат импортировать в Cain например и он будет "видеть" ssl пароли.

    2. устранвить там кейлоггер/зевс(с форм.граббером) и таким образом перехватить данные.

    P.S. с VK не очень толк взлома.. там приявзка к IP. если что то не то, то запросить SMS принять на заранее вводенный номер или номер телефона подтвердить... такая же херня на фейсбуке.. там еще сложнее.
     
    #2 B1t.exe, 1 Jun 2012
  3. #viper#

    #viper# New Member

    Joined:
    31 May 2012
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    А с другого конца если. Вконтакт же не каждый раз парол требует, да? Залогинился, и пока куки живы, ходишь там. Достаточно там эти куки стырить, или еще чего надо? Ну, если я с жертвой за одним IP адресом сижу?
     
    #3 #viper#, 1 Jun 2012
  4. dzagoev10

    dzagoev10 New Member

    Joined:
    24 May 2012
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    класс :) :) :) :) :) :)
     
    #4 dzagoev10, 6 Jun 2012
(You must log in or sign up to post here.)
Loading...
Similar Threads - палива перехватить пароль
  1. xakepok777

    Как взломать пароль от Excel файла 2016?

    xakepok777, 14 Nov 2022, in forum: Безопасность и Анонимность
    Replies:
    4
    Views:
    4,114
    user100
    30 Nov 2022
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.