Pharming (Windows)

Iniciado por DarkGenesis, 14 de Novembro , 2010, 02:36:57 PM

tópico anterior - próximo tópico

0 Membros e 1 Visitante estão vendo este tópico.

Imprimir
Ir para o fim Páginas1
Ações

DarkGenesis

14 de Novembro , 2010, 02:36:57 PM Última edição: 06 de Janeiro , 2012, 06:43:22 AM por DarkGenesis
A técnica de Pharming no Windows se baseia em trocar os DNS's de um arquivo, fazendo assim, você acessar um site sem a intenção de fazer aquilo.

   O arquivo é o C:\Windows\System32\drivers\etc e possui uma lista de DNS's com endereços de IP.
   O que ele faz?
   Ele simplesmente faz o seguinte:

  • Quando você digita 127.0.0.1, ele abre o endereço localhost automaticamente... E na barra de endereços, o endereço fica 127.0.0.1.
      Pera ae... Isso quer dizer que eu posso fazer a vítima acessar um site, o site aparecer corretamente na barra de endereços e a vítima estar acessando outro site? CORRETO! :D

    Abrindo o arquivo com o bloco de notas, podemos ver:

    Citar# Copyright (c) 1993-2009 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    #      102.54.94.97     rhino.acme.com          # source server
    #       38.25.63.10     x.acme.com              # x client host

    # localhost name resolution is handled within DNS itself.
    #    127.0.0.1       localhost

    127.0.0.1 localhost
    Agora, vamos pegar por exemplo, o IP de Google.com e o DNS de Orkut.com e adicionar no arquivo (assim, quando a você tentar acessar o Orkut, você vai cair no Google).

    Dando um ping www.google.com, temos:

    CitarDisparando www.l.google.com [64.233.163.104] com 32 bytes de dados:
    Resposta de 64.233.163.104: bytes=32 tempo=50ms TTL=56
    Resposta de 64.233.163.104: bytes=32 tempo=45ms TTL=56
    Resposta de 64.233.163.104: bytes=32 tempo=46ms TTL=56
    Resposta de 64.233.163.104: bytes=32 tempo=49ms TTL=56

    Agora, pegamos o IP do Google.com (64.233.163.104) e acrescentamos, junto ao DNS do Orkut.com, no arquivo hosts.

    Citar
    Citar# Copyright (c) 1993-2009 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a '#' symbol.
    #
    # For example:
    #
    #      102.54.94.97     rhino.acme.com          # source server
    #       38.25.63.10     x.acme.com              # x client host

    # localhost name resolution is handled within DNS itself.
    #    127.0.0.1       localhost

    127.0.0.1 localhost
    64.233.163.104 www.orkut.com

    Pronto! Agora, quando você for acessar Orkut.com, vai abrir a página do Google.com (na barra de endereços, continuará Orkut.com).
    Assim, se você fizer isso com uma página fake, a vítima verá a barra de endereçõs idêntica, mas estará logando em outro site! Isso foi apenas para explicar como funciona o Pharming (Windows) com um pouco de imaginação e SEing, ai ai...

f0nt_Drk

#1
14 de Novembro , 2010, 03:32:04 PM
DNS spoof . (:
Remember, remember, the 5th of November
The gunpowder treason and plot;
I know of no reason why the gunpowder treason
Should ever be forgot.

DarkGenesis

#2
15 de Novembro , 2010, 12:04:48 AM

GeeK RooT

'
#3
15 de Novembro , 2010, 05:23:49 PM Última edição: 21 de Junho , 2012, 12:31:17 PM por GeeK RooT
'

n0mor3

#4
15 de Novembro , 2010, 06:25:40 PM
Sim, CodeZ
Isso é pharming, até onde eu sei.
A diferença basica entre Desktop Phishing e Pharming, é que Pharming
é feito localmente, enquanto Desktop Phishing é feito remotamente.
Em pharming asume-se que voce tem acesso a maquina, e poderia editar o arquivo HOSTS, enquanto na outra tecnica, criamos um arquivo HOSTS feito por nóis, para que substitua o arquivo existente na maquina alvo.
Acho que voce se equivocou, não DG ? :)

[]'s

DarkGenesis

#5
15 de Novembro , 2010, 06:30:05 PM
Corrigido.  ;)

n0mor3

#6
15 de Novembro , 2010, 06:31:56 PM
DG, já que voce postou sobre Pharming,
posso postar um texto que fiz sobre Desktop Phishing?

DarkGenesis

#7
15 de Novembro , 2010, 06:32:59 PM
Citação de: fpois0n online 15 de Novembro , 2010, 06:31:56 PM
DG, já que voce postou sobre Pharming,
posso postar um texto que fiz sobre Desktop Phishing?

Claro, posta ai.  ;)
Imprimir
Ir para o topo Páginas1
Ações