![]() |
Всем привет. Хотел бы опубликовать на суд общественности описание небольшого устройства на базе распространенного модуля ESP8266. Речь пойдет о совершенной небезопасности открытых сетей в общественных местах. Но в данный момент мы не говорим о снифферах и прочих инструментах перехвата трафика в сети. Сейчас речь о железе , способном очень наглядно продемонстрировать атаку социальной инженерии в полной красе. Ввиду того, что люди в своем большинстве очень уж охочи до халявы- девайсик оказался весьма перспективным для подобных исследований и статистического подсчета "жадных" на 100 человек населения.
Итак суть проекта: В основе, как уже упоминалось, лежит модуль Node MCU ESP8266/ Он поднимает аппаратно софтовую точку доступа с именем @Free-WiFi , не содержащую пароля, то бишь без защиты. При подключении любопытных к данной сети (не зависимо от того, с чего было подключение, мобила, планшет или компьютер) девай автоматом перекидывает клиента на страницу регистрации (спасибо роскомнадзору- сделали обязательную регистрацию в открытых сетях, хотели как лучше, а получилось..... как обычно у них и получается). И вот что мы видим https://forum.antichat.xyz/attachmen...8cd75ba4f0.png По сути здесь все практически стандартно, но! Как видно на скрине, для регистрации необходимо указать электронную почту, пароль от нее и номер телефона. Как не странно, но в большинстве случаев люди не запариваясь вводят эти данные, совершенно не думая о своей безопасности и о последствиях. И введенная информация благополучно сливается на СД карту девайса и параллельно отображается на его дисплее, не забывая показывать количество "жертв" поймавшихся в эту ловушку, которым как ни в чем не бывало предлагается дождаться смс с кодом подтверждения регистрации... Теперь о железно-софтовой части. Вот фото самого девайса (разрешение ни к черту... https://forum.antichat.xyz/attachmen...08bd5e50c8.png Размер меньше пластиковой карты и литиевого аккума на 1000 ма хватает с лихвой на 3 часа работы. Обо всех событиях девайс информирует вас музыкальными сигналами и индикацией на дисплее. Вот схема https://forum.antichat.xyz/attachmen...e9da7e9ec1.png Ну и, собственно код прошивки прилагается (за ее основу был взят код с забугорного паблика, но к сожалению не сохранилось ссылки) он доработан и усовершенствован. Все логи сохраняются на карту СД предварительно отформатированную в FAT32 !!! И помните- это предназначено исключительно для исследований в области безопасности и все неправомерные использования- ВАША ОТВЕТСТВЕННОСТЬ! Удачи ) |
Добрый вечер
Крутая штука, считаю что хорошо поможет при проведении пентеста в организации если переделать в веб странице форму почты на форму логин пароль то можно применить для кражи доменных учётных данных. Скажите пожалуйста есть больше информации об этом устройстве? |
Цитата:
|
Цитата:
|
Перенес в статьи.
Тема интересная, очень хорошо что автор интересуется и хардварной и софтварной частями. На будущее - желательно делать подробный пошаговый мануал в форме конкретного кейса: где купил, процесс прошивки с подробным описанием и скриншотами, это будет полезно для начинающих специалистов. |
Цитата:
И еще момент, может пригодится для дальнейшего понимания ситуации. Я не смогу написать мануаль по работе и прошивке в винде, так как уж много лет назад забросил ее и работаю только на линуксе, так что все дальнейшие инструкции только для линукса. |
ха) он просит пароль от почты? СМС действительно приходит?
Но не все же вводят пароль от почты. может они поймут это как пароль для регистрации как обычно. Просто чтобы войти куда-то нужно ввести пароль от собственной почты... Ну это такое себе. Она ка кто проверяет корректность? Или просто сохраняет всё введённое в логах? |
Цитата:
|
Цитата:
|
Наверное самое ценное в собранной автором информации это связка номера телефона и адреса почты, бонусом выступает возможно рабочий пароль.
|
Цитата:
|
Будет ли возможность изменять страну? Потому что там в логин скрине по дефолту +7,а что бы было в настройках выбор? Или вообще добавить со стороны админки некие настройки?
|
Цитата:
https://forum.antichat.xyz/attachmen...8907122745.png |
Цитата:
|
Небольшая корректировка по железу. Дисплей нужно брать с контроллером SSD1306 / прошивка и библиотеки под него сделаны, просто бывают еще другие котроллеры. Цена вопроса в РФ на такой дисплей около 250 вечно деревянных. В китае вроде около 120
|
Цитата:
|
Цитата:
Вот то. что применялось в проекте https://forum.antichat.xyz/attachmen...c90ec6d1b3.png https://forum.antichat.xyz/attachmen...b3b079182b.png ссылка на али по сд картридеру-- Выгодная цена на Spi Sd Card Reader — суперскидки на Spi Sd Card Reader. Spi Sd Card Reader: топ-производители со всего мира в приложении AliExpress на с. microsd карты spi интерфейс, sd card модуль памяти, карты памяти card reader, card reader карты памяти дисплей -- https://aliexpress.ru/item/32946734..._expid=52fd7bdd-860c-41af-a67f-fda6f0b18830-9 NODE MCU-- Выгодная цена на Wi Fi Esp8266 Nodemcu V3 — суперскидки на Wi Fi Esp8266 Nodemcu V3. Wi Fi Esp8266 Nodemcu V3: топ-производители со всего мира в приложении AliExpress на с. Wi Fi Esp8266 Nodemcu V3 |
а где железку взял?
И сколько по стоимости она Чисто ради интереса |
Цитата:
|
Цитата:
|
Заметил интересную особенность...))) Проверено на андроиде 9.0. и последней ios- при обнаружении этой точки доступа. девайс сам выдает оповещение о нахождении открытой сети. предлагая к ней подключиться))) это прям радует
Цитата:
Цитата:
|
Подписался,интересно.
|
Если есть хотя бы NodeMCU, то можно не ждать когда придет переходник на флешку, а взять обычный переходник Mini SD на Micro SD. А экран заменить WEB админкой. Да и с помощью нее реализовать некие настройки.
Да и собственной памяти на устройстве 4MB. Можно хранить логи и там. |
Цитата:
|
Цитата:
|
Скажите пожалуйста какой примерно радиус действия на полуоткрытой местности к примеру в ТЦ
|
И можно ли прикрутить антену для увеличения
|
Цитата:
|
Цитата:
|
Хотел бы обратиться к тем, кто серьезно шарит именно в вэб программировании, так как у меня несколько иное направление, и возникли сложности с реализацией идеи регистрации по соц сетям. Есть здесь такие люди, готовые помочь проекту?
|
Цитата:
|
Цитата:
|
Есть подобный проект , но там сайты немного не наши и нет выбоа на центральной странице. нцжно вручную адрес вводить, но вот код для есп- может кто сможет разобраться . здесь предоставлены яххо, фэйсбук и прочая хрень, которая в рф не актуальна. но код рабочий. нужно дорабатывать именно вэб часть
|
я к сожалению не в курсе можно ли здесь продать свою разработку или нет, но я бы продал за символическую сумму этот девайвс в полном рабочем состоянии тому кто сможет доработать его
я имею ввиду полностью укомплектованный девайс как на фото в начале статьи я слишком стар для всего этогоь дерьма....... |
Цитата:
Ваш проект действительно получился крутой. Уже давно программирую esp и никак не мог подумать что ее можно использовать в этом направлении. Сбросьте пожалуйста оригинал кода с авторизацией через веб-страницы и источник где он был опубликован. (Этот код который вы прислали уже изменен и в нем труднее разобраться). Если будет свободное время попробую полностью переписать данную программу для авторизации через страницы социальных сетей. |
Цитата:
|
Нашел оригинал кода на github.
Возможно кому-то пригодится : exploitagency/github-ESPortal . Здесь кто-то также дорабатывал этот код : AbhinavM2000/captive-portal-phishing . Это новая версия кода - оригинала с хорошим описанием и определенными изменениями : exploitagency/ESPortalV2 . Я думаю, что ее лучше использовать в качестве основы |
Цитата:
|
Цитата:
Я дал ссылки на оригинал проектов фишинговых страниц соцсетей на есп8266. |
Цитата:
|
| Время: 01:51 |