[!] BeEFYPROXY - MITM Web con modificacion de contenido

Iniciado por hkm, 24 Abril 2009, 09:17 AM

0 Miembros y 1 Visitante están viendo este tema.

hkm

== BeEFYPROXY == hkm @ hakim.ws == http://www.hakim.ws/software/beefyproxy/

BeEFYPROXY es la unión de dos scripts que juntos permiten interceptar y re-enviar contenido modificado de sitios verdaderos aparentando ser el sitio original. Se requiere de apuntar los dominios al IP donde esta hosteado BeEFYPROXY.BeEFYPROXY esta diseñado para correr en un hosting dedicado para que la dirección IP muestre la pagina default de BeEFYPROXY.Se recibe una conexión a la dirección IP y el script toma el valor de la cabecera Host y obtiene la pagina del Host verdadero y agrega el script del cliente BeEF.

== Instalación ==
Descomprime el contenido de beefproxy en /
Apunta cualquier dominio a la IP donde esta hosteado BeEFYPROXY y este se conecta al Host indicado, obtiene la pagina real, le agrega el script de BeEF y muestra el contenido al usuario como si fuera la pagina del dominio verdadero.

== Funciones ==
MITM con modificación de contenido
Redirige el contenido actual del dominio verdadero
Agrega el Framework BeEF (accesible en /beef.php) que incluye:
-Keylog en tiempo real
-Almacena Cookies, Keylog y HTML en /cache (ver por ftp)
-muchas mas funciones (ver http://www.bindshell.net/tools/beef)

== Como esta hecho? ==
Junte BeEF (http://www.bindshell.net/tools/beef) y PHProxy (http://sourceforge.net/projects/poxy) en un solo archivo. Cambie de nombre el index.php de BeEF por beef.php y puse el index.php de PHProxy modificado.En PHProxy cambie la variable $_url_form (ln 1142) que era la barra de navegación del proxy por el url default del script de BeEF:
/hook/beefmagic.js.php y le modifique su label al principio del archivo.Tambien agrege en la ln 417 una función para que cuando se recibe una petición sin variable 'q' por GET, se tome como url default el Host con el que se hace la petición.

== Greets ==
lightos, octalh, sdc, alt3kx, optix, crypkey, xianuro, nitrous, mendozaaaa.

-- BeEFYPROXY por hkm --


DESCARGA Y VIDEO:

http://www.hakim.ws/software/beefyproxy/

http://www.milw0rm.com/video/watch.php?id=99




b01n4v3rt

#3
ta muy bien,

el nod lo detecta en 'template.js' carpeta: '\modules\symmetric\xplt_mobb-018'


es facil hacerlo indetectable cambiando un poco las variables y tal de las lineas:

Citar
   var spraySlide = unescape("%u0505%u0505");
   spraySlide = getSpraySlide(spraySlide,spraySlideSize);

Que son las líneas que usa el nod como firmas.

La parte que detecta el av es la del BeEF que como es un proyecto
mas internacional que explota vulnerabilidades del navegador
es normal que sea detectado,

pero bueno,  ahi deje la solución, modificar esas lineas cambiando las variables
por otras y fuera