(Tutorial) Zphisher, la mejor herramienta para suplantar paginas web y obtener datos personales


marcalle100

marcalle100

Miembro muy activo
Noder
Introducción
Buenos días/tarde/noche noderos, aquí marcalle100 con un nuevo post. Esta vez, enseñando a utilizar una herramienta con la que suplantar paginas web (tales como google, instagram, facebook...). Zphisher.
Con esto podremos farmear tanto correos electrónicos con sus respectivas contraseñas como únicamente correos (para hacer spam) o contraseñas (para generar diccionarios para ataques de fuerza bruta).
También nos da la ip del usuario.

Requisitos
  • Pc/Maquina virtual (yo recomiendo virtual box) con kali linux o en su defecto un móvil con la aplicación de termux (tenéis que seguir literalmente los mismos pasos pero para que funcione en termux, hay que desactivar el wifi, activar los datos móviles y el compartir wifi). Si queréis que haga un post explicando como instalar kali linux en una maquina virtual pedirlo.
  • El siguiente enlace https://github.com/htr-tech/zphisher
Advertencia
Es recomendable utilizar una vpn para realizar esta practica ( por motivos de seguridad y anonimato)
Yo marcalle100, como noder, no me hago responsable del mal uso que se le pueda dar a esto, es con fines meramente educativos

Proceso de instalación
  1. En kali linux, abrir una terminal, en termux nada, pq ya es una terminal
  2. crearemos una carpeta con en comando mkdir + nombrecarpeta. Con el comando ls podemos ver si se ha creado y, con cd + nombrecarpeta, accederemos dentro de la carpeta
1.JPG


3. A continuación, estando dentro de la carpeta, pondremos el siguiente comando: git clone https://github.com/htr-tech/zphisher y pulsamos enter.

4. Esperamos que se descargue y una vez finalizado, escribiremos los comandos cd zphisher (pulsamos enter) y ls (y enter otra vez) de tal forma que podamos ver esto:

2.JPG


5. Finalmente solo queda ejecutarlo con el siguiente comando: ./zphisher.sh y se nos abrirá el siguiente menú:

3.JPG


Uso

Lo primero que tenemos que hacer es seleccionar una opción, yo en mi caso escogeré google. Para ello simplemente tenemos que poner el número y pulsar enter

4.JPG


A continuación, seleccionamos la opción 2 (Ngrok.io) y nuevamente, enter. Este es un servicio que abrirá un túnel de redirección. Esperamos un poco, y este obtenemos esto:


5.JPG


Ese enlace será el que compartamos (no copiarlo con control + c, porque si lo haceis se parará el proceso y no funcionará) y al abirlo, obtendran un inicio de sesion de la plataforma que hemos seleccionado.
Pero claro, la gente no es tonta y verá que ese enlace no es de google (aunque si que tiene el protocolo de seguridad https) así que, como lo camuflamos? Fácil, simplemente tenemos que poner información extra y una arroba al final (en mi caso por ejemplo puedo hacer que el enlace quede así https://google.com@b6ff18350443.ngrok.io). Esto lo que hará es que la información que está entre el https:// y el @, no sirva para nada pero si que aparezca en la URL.

1601631230919.png


Solo con que la victima entre en el enlace, ya obtendremos su ip y, cuando ponga sus datos y haga click en Sign in, BINGO! ya tenemos su información:

7.JPG



tanto la ip, como la información de inicio de sesión se guardan en archivos de texto como podéis ver.
Tenemos que dejar el servicio activo hasta que la victima entre, en el momento que lo queramos cerrar, simplemente pulsaremos control + c y se finalizará.
Una vez finalizado el servicio, si alguien intenta entrar en el enlace les saldrá un mensaje de error

Final

Bueno, espero que este post os haya servido de ayuda y gustado, si tenéis cualquier duda sentiros libres de preguntar y darle amor. Un saludo y hasta el próximo post ;) ;)
 
  • Like
  • Maravilloso
  • Regalar
Reacciones : DraKo, didac_coin, critienfermo y 45 otros
milin_dron

milin_dron

Relaciones Publicas pero en nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder
ChetoMan dijo:
Buen post! Pero tener cuidado internautas, no os metáis en líos
Hacer clic para expandir...
aprovecha para intentar sacarle la ip o algo a la cherni, pero siempre para darle un buen uso claro no queremos saludar a la guardia civil
 
  • Like
Reacciones : Gaser
mtz0

mtz0

Hablar de más indica mucha ignorancia.
Noderador
Nodero
Noder
wannacry dijo:
No hay fines educativos con este tipo de herramientas y mas en un foro donde la mayoria quiere hackear cuentas de insta o cogerle la ip al que le hace bullying.
Hacer clic para expandir...
Eso lo das tú por sentado, porque yo por ejemplo sí que lo hago con fines educativos y si le cojo la IP a alguien o cualquier otra mierda es a un colega y luego le explico cómo lo he hecho y ahí acaba.
Además de que cada uno es libre de hacer lo que quiera con la información que tiene a su disposición, ateniéndose a las posteriores consecuencias está claro.
 
  • Like
Reacciones : charli.hnt, destapeman and marcalle100
wannacry

wannacry

tenia ganas pero no las conexiones
Burgués de Nodo
Noderador
Nodero
Noder
mtz0 dijo:
Eso lo das tú por sentado, porque yo por ejemplo sí que lo hago con fines educativos y si le cojo la IP a alguien o cualquier otra mierda es a un colega y luego le explico cómo lo he hecho y ahí acaba.
Además de que cada uno es libre de hacer lo que quiera con la información que tiene a su disposición, ateniéndose a las posteriores consecuencias está claro.
Hacer clic para expandir...
Pues ya esta, no es con fines educativos. A tu amigo que coño le importara como le cojas la ip xd.
 
mtz0

mtz0

Hablar de más indica mucha ignorancia.
Noderador
Nodero
Noder
wannacry dijo:
Pues ya esta, no es con fines educativos. A tu amigo que coño le importara como le cojas la ip xd.
Hacer clic para expandir...
Sí es con fines educativos porque yo no uso esa información para joderle ni nada, no sé si sabes lo que es un fin educativo xd, ¿y tú que sabes si a mi colega le importa o le deja de importar estas cosas? no le mola la informática, pero si a tí por ejemplo te cogen la IP pues te mola que te expliquen un poco como lo han hecho y tal, por mera curiosidad y quizá no volver a caer en un futuro.
 
  • Like
Reacciones : marcalle100
wannacry

wannacry

tenia ganas pero no las conexiones
Burgués de Nodo
Noderador
Nodero
Noder
marcalle100 dijo:
Es con fines educativos porque se enseña a usar una herramienta, y cuando enseñas algo ya es EDUCAR por tanto este post ES CON FINES EDUCATIVOS
Hacer clic para expandir...
Vamos a seguir con tu ejemplo, te enseño a utilizar la herramienta para matar personas llamada "pistola" hagas lo que hagas con ella es malo. PUES DA IGUAL LA INTENCIÓN QUE TENGAS NADIE LA VA A UTILIZAR CON FINES EDUCATIVOS NO ME TOQUEIS LOS HUEVOS.
 
wannacry

wannacry

tenia ganas pero no las conexiones
Burgués de Nodo
Noderador
Nodero
Noder
mtz0 dijo:
Sí es con fines educativos porque yo no uso esa información para joderle ni nada, no sé si sabes lo que es un fin educativo xd, ¿y tú que sabes si a mi colega le importa o le deja de importar estas cosas? no le mola la informática, pero si a tí por ejemplo te cogen la IP pues te mola que te expliquen un poco como lo han hecho y tal, por mera curiosidad y quizá no volver a caer en un futuro.
Hacer clic para expandir...
Tu mismo lo has dicho, no le mola la informatica osea le importa una mierda lo que hagas con su ip o la forma en que la consigas.
 
marcalle100

marcalle100

Miembro muy activo
Noder
wannacry dijo:
Vamos a seguir con tu ejemplo, te enseño a utilizar la herramienta para matar personas llamada "pistola" hagas lo que hagas con ella es malo. PUES DA IGUAL LA INTENCIÓN QUE TENGAS NADIE LA VA A UTILIZAR CON FINES EDUCATIVOS NO ME TOQUEIS LOS HUEVOS.
Hacer clic para expandir...
Fácil, si tu me enseñas a usar la pistola me estas educando, luego lo que yo haga con la pistola y el uso que se le de es tu responsabilidad pq con el conocimiento que yo te he dado eres libre de hacer lo que te salga de la polla ;)
 
  • Like
Reacciones : mtz0
wannacry

wannacry

tenia ganas pero no las conexiones
Burgués de Nodo
Noderador
Nodero
Noder
marcalle100 dijo:
Fácil, si tu me enseñas a usar la pistola me estas educando, luego lo que yo haga con la pistola y el uso que se le de es tu responsabilidad pq con el conocimiento que yo te he dado eres libre de hacer lo que te salga de la polla ;)
Hacer clic para expandir...
No lo entendeis de verdad, es como hablar con monos.
 
mtz0

mtz0

Hablar de más indica mucha ignorancia.
Noderador
Nodero
Noder
wannacry dijo:
Vamos a seguir con tu ejemplo, te enseño a utilizar la herramienta para matar personas llamada "pistola" hagas lo que hagas con ella es malo. PUES DA IGUAL LA INTENCIÓN QUE TENGAS NADIE LA VA A UTILIZAR CON FINES EDUCATIVOS NO ME TOQUEIS LOS HUEVOS.
Hacer clic para expandir...
Primero, tómate una tila que se te ve alterado, segundo, procedo a explicarte la analogía de la PISTOLA con ZPhisher. Si tienes una pistola no tienes por qué usarla contra una persona (FINES NOCIVOS U OTROS FINES), pero puedes aprender a disparar por el mero hecho de querer aprender a usarla y no necesariamente la vas a usar contra una persona (FINES EDUCATIVOS). Con ZPhisher pasa lo mismo, yo puedo conseguir la IP de mí colega pero no usarla en su contra, simplemente pruebo que la puedo conseguir y ya está.
 
  • Like
Reacciones : marcalle100
mtz0

mtz0

Hablar de más indica mucha ignorancia.
Noderador
Nodero
Noder
wannacry dijo:
No lo entendeis de verdad, es como hablar con monos.
Hacer clic para expandir...
Claro que lo entiendo, lo que tú nos quieres decir es que no sabes quién y con qué fines puede usar esta info, pero yo te digo que cada uno puede hacer lo que le de la real gana (con sus consecuencias), otra cosa es que sea ético o no.
Yo sé los valores que tengo y punto y sé con que fines lo voy a usar, lo que me toca los cojones es que generalices y digas que no se le puede dar un fin educativo a esto, cuando a CUALQUIER COSA se le puede dar un fin educativo. Allá cada quién con lo suyo.
 
noder313

noder313

Miembro muy activo
Noder
marcalle100 dijo:
Introducción
Buenos días/tarde/noche noderos, aquí marcalle100 con un nuevo post. Esta vez, enseñando a utilizar una herramienta con la que suplantar paginas web (tales como google, instagram, facebook...). Zphisher.
Con esto podremos farmear tanto correos electrónicos con sus respectivas contraseñas como únicamente correos (para hacer spam) o contraseñas (para generar diccionarios para ataques de fuerza bruta).
También nos da la ip del usuario.

Requisitos
  • Pc/Maquina virtual (yo recomiendo virtual box) con kali linux o en su defecto un móvil con la aplicación de termux (tenéis que seguir literalmente los mismos pasos pero para que funcione en termux, hay que desactivar el wifi, activar los datos móviles y el compartir wifi). Si queréis que haga un post explicando como instalar kali linux en una maquina virtual pedirlo.
  • El siguiente enlace https://github.com/htr-tech/zphisher
Advertencia
Es recomendable utilizar una vpn para realizar esta practica ( por motivos de seguridad y anonimato)
Yo marcalle100, como noder, no me hago responsable del mal uso que se le pueda dar a esto, es con fines meramente educativos

Proceso de instalación
  1. En kali linux, abrir una terminal, en termux nada, pq ya es una terminal
  2. crearemos una carpeta con en comando mkdir + nombrecarpeta. Con el comando ls podemos ver si se ha creado y, con cd + nombrecarpeta, accederemos dentro de la carpeta
Ver el archivo adjunto 16430

3. A continuación, estando dentro de la carpeta, pondremos el siguiente comando: git clone https://github.com/htr-tech/zphisher y pulsamos enter.

4. Esperamos que se descargue y una vez finalizado, escribiremos los comandos cd zphisher (pulsamos enter) y ls (y enter otra vez) de tal forma que podamos ver esto:

Ver el archivo adjunto 16431

5. Finalmente solo queda ejecutarlo con el siguiente comando: ./zphisher.sh y se nos abrirá el siguiente menú:

Ver el archivo adjunto 16432

Uso

Lo primero que tenemos que hacer es seleccionar una opción, yo en mi caso escogeré google. Para ello simplemente tenemos que poner el número y pulsar enter

Ver el archivo adjunto 16433

A continuación, seleccionamos la opción 2 (Ngrok.io) y nuevamente, enter. Este es un servicio que abrirá un túnel de redirección. Esperamos un poco, y este obtenemos esto:


Ver el archivo adjunto 16434

Ese enlace será el que compartamos (no copiarlo con control + c, porque si lo haceis se parará el proceso y no funcionará) y al abirlo, obtendran un inicio de sesion de la plataforma que hemos seleccionado.
Pero claro, la gente no es tonta y verá que ese enlace no es de google (aunque si que tiene el protocolo de seguridad https) así que, como lo camuflamos? Fácil, simplemente tenemos que poner información extra y una arroba al final (en mi caso por ejemplo puedo hacer que el enlace quede así https://google.com@b6ff18350443.ngrok.io). Esto lo que hará es que la información que está entre el https:// y el @, no sirva para nada pero si que aparezca en la URL.

Ver el archivo adjunto 16435

Solo con que la victima entre en el enlace, ya obtendremos su ip y, cuando ponga sus datos y haga click en Sign in, BINGO! ya tenemos su información:

Ver el archivo adjunto 16437


tanto la ip, como la información de inicio de sesión se guardan en archivos de texto como podéis ver.
Tenemos que dejar el servicio activo hasta que la victima entre, en el momento que lo queramos cerrar, simplemente pulsaremos control + c y se finalizará.
Una vez finalizado el servicio, si alguien intenta entrar en el enlace les saldrá un mensaje de error

Final

Bueno, espero que este post os haya servido de ayuda y gustado, si tenéis cualquier duda sentiros libres de preguntar y darle amor. Un saludo y hasta el próximo post ;) ;)
Hacer clic para expandir...
Buenísima aportación maestro! hay mas así por aquí??
 
Anon

Anon

🏴‍☠️
Owner
Staff
Moderador
Paladín de Nodo
Jinete de Nodo
Burgués de Nodo
Noderador
Nodero
Noder
Grande! Sigue así (y)
 
  • Like
Reacciones : noder313
Hay que estar conectado o registrado para responder aquí.
Arriba Pie