Urdu
براؤزر اکثر ہیکرز کے لئے مقبول ہدف ہوتے ہیں کیونکہ کسی سے سمجھوتہ کرنے کا مطلب یہ ہے کہ آپ کسی ہدف سے فشنگ حملہ کرسکتے ہیں یا ویب کیم شبیہہ بھی حاصل کرسکتے ہیں ہم آپ کو سائبر ہتھیاروں کی لیب [موسیقی] کے اس ایپیسوڈ پر گائے کے گوشت سے براؤزر ہیک کرنے کا طریقہ سکھائیں گے۔ ] [میوزک] لوگ ہر قسم کی چیزوں کے لئے براؤزر استعمال کرتے ہیں اور عام طور پر ہمیں ان پر بہت سی ذاتی معلومات پر بھروسہ ہے اب براؤزر ایک ہیکر کے لئے ایک اچھ attackے حملے کی سطح ہیں کیونکہ شکار کو شاید یہ بھی معلوم نہیں ہوتا ہے کہ وہ متاثرہ ہیں اور آپ سب کو کھانا کھلاتے ہیں۔ ممکنہ طور پر اب آپ جو معلومات حاصل کرنا چاہتے ہیں اسے کرنے کے ل you آپ کو پہلے کسی لنک پر کلک کرنے کے لئے ہدف کو چالانے کی ضرورت ہے اور اس کو پیدا کرنے کے لئے آپ بیف نامی ڈیفالٹ کالی لینکس ٹول استعمال کرسکتے ہیں اب وہاں بہت پہلے سے نصب شدہ کالی لینکس ٹول موجود ہیں لیکن گائے کا گوشت اب تک سب سے دلچسپی میں سے ایک یہ ایک ایسی لنک تیار کرسکتا ہے جو ہدف کو ٹریک کرنے اور یہاں تک کہ دونوں میں اضافے کی اجازت کے ل to ماڈیول چلا سکتا ہے اور اب کمپیوٹر کے پیچھے موجود شخص کے بارے میں مزید معلومات اکٹھا کرسکتا ہے اس میں بھی اسکین کرنے کے قابل ہونا بھی شامل ہے۔ اس نیٹ ورک کے پیچھے جو افراد بہت متاثر کن ہیں جب اس حقیقت کے ساتھ مل کر کہ آپ ویب کیم سے تصاویر کھینچ سکتے ہیں وہ دیکھتے ہیں کہ وہ کیا ٹائپ کررہے ہیں اور گائے کا گوشت استعمال کرنے کے لئے اسناد حاصل کرنے کی کوشش کرنے کے لئے فشینگ پیجز لانچ کر رہے ہیں تاکہ میں تجویز کرتا ہوں کہ آپ کے پاس کالی ہے۔ لینکس انسٹال ہوا کیوں کہ اس کو انسٹال کرنے کی کوشش کر رہا ہے ورنہ کسی مختلف سسٹم پر جس کا میں نے تجربہ نہیں کیا ہے اور یہ کام نہیں کرسکتا ہے یا اگر آپ کو گائے کا گوشت لگانے کی ضرورت کے طریقے کے بارے میں کوئی سوال ہے تو آپ تفصیل میں منسلک کالع بائٹ آرٹیکل کو چیک کرسکتے ہیں۔ ایک بار جب آپ کالی نظام زندگی کو مکمل طور پر اپ ڈیٹ کر لیں تو آپ ہیک براؤزر شروع کرنے سے پہلے اپنے آپ سے پوچھنے کے لئے سب سے پہلا اور سب سے اہم سوال شروع کر سکتے ہیں وہ ہے کہ پہلے گائے کا گوشت کہاں ہے ہمیں اس بات کو یقینی بنانا ہوگا کہ ہم اسے انسٹال کرچکا ہے لہذا چلیں آگے چل کر ٹائپ کرکے چیک کریں آپ انسٹال بیف کو تمام ضروری انحصارات کو انسٹال کرنا چاہئے اور جیسا کہ آپ دیکھ سکتے ہیں کہ یہ کالی لینکس میں بطور ڈیفالٹ انسٹال ہے لیکن ابھی بھی ایک دو چیزیں ایسی ہیں جو انسٹال ہوسکتی ہیں ایک بار جب آپ فائن ہو گائے کے گوشت کی انسٹال کرنے کے لئے جو آپ درخواستوں پر جا سکتے ہیں سسٹم کی خدمات پر کلک کریں اور آپ کو ابھی گائے کا گوشت دیکھنا چاہئے یہاں سے ایک بار جب آپ اس پر کلک کرتے ہیں تو آپ کو گائے کے گوشت کے استعمال سے شروع کرنے سے پہلے اب مندرجہ ذیل ونڈو دیکھنا چاہئے جس کے ذریعہ ہم کھانا پکارہے ہیں گیتھوب وکی آرٹیکل کو تبدیل کرتے ہوئے اور دیکھیں کہ ماڈیولز کے ساتھ بالکل کیا ہورہا ہے جسے ہم اب استعمال کرسکتے ہیں ہم دیکھ سکتے ہیں کہ سوشل انجنئیرنگ نیٹ ورک کی دریافت میٹاسپلائٹ ٹنلنگ کراس سائٹ اسکرپٹنگ ثابت قدمی اور جغرافیائی محل وقوع سمیت متعدد مختلف چیزیں جن پر ہم لوڈ کرسکتے ہیں۔ ہم ابھی کے لئے سوشل انجینئرنگ اور نیٹ ورک کی دریافت پر توجہ مرکوز کرنے والے ہیں اور اس سے ہمیں کسی فشینگ پیج کو پاپ اپ کرنے اور پاس ورڈ حاصل کرنے کی کوشش کرنے یا کچھ نیٹ ورکنگ کرنے کی کوشش کرنے اور فائر فال کے پیچھے واقعی کیا معلوم کرنے کی کوشش کرنے کی صلاحیت ہوگی۔ دوسری صورت میں ہم یہ دیکھنے کے قابل نہیں ہوں گے کہ اس میں IP پتے میں دوسرے براؤزرز کی ترتیب شامل نہیں ہوسکتی ہے جو کمزور ہیں اور بہت سی دوسری معلومات ایک ہیکر کے لئے کارآمد یہیں آپ مجھ سے کچھ ایسی مثالیں دیکھ سکتے ہیں جو آپ کو اسناد کے ماڈیول کے لئے پوچھ رہے ہیں جو بنیادی طور پر صرف پاپ اپ اور فیس بک پیج کی طرح نظر آنے کی کوشش کرتا ہے یا کوئی اور چیز جس میں آپ سے لاگ ان کرنے کے لئے پوچھتا ہے واقعی ٹھنڈا ہے کیونکہ اس میں متعدد خصوصیات شامل ہیں ایڈوب اور بشمول ہم آج کے جی میل کو آزمانے جارہے ہیں اس طرح کے مختلف پیشگی فشینگ صفحات ، تاکہ ہم آگے بڑھیں اور فائر فائکس ونڈو میں اس کا آغاز کریں اور ہم ایک کروم ونڈو پر حملہ کرنے والے ہوں جس کو میں نے یہاں کھینچ لیا۔ میں واپس جا رہا ہوں اور ہم اپنے فائر فاکس ونڈو میں اپنے بیف کنٹرول پینل میں جا رہے ہیں پہلے آگے بڑھیں اور ایک دو سات صفر صفر ایک 3000 سلیش UI / پینل پر جائیں اور آپ کو صارف نام کے گوشت کے ساتھ لاگ ان کرنے کی ضرورت ہوگی اور پاس ورڈ کا گوشت ایک بار جب آپ خود کو اس صفحے پر تلاش کرلیں گے اور آپ آن لائن براؤزرز کی فہرست دیکھیں گے جیسے ہی آپ یہاں موجود ڈیفالٹ ڈیمو پر کلک کریں گے لہذا میں لنک والے مقام کی کاپی کرنے جارہا ہوں۔ میں آگے جاؤں گا اور اس کی نشاندہی کروں گا کہ وہ پہلے ہی موجود ہے لیکن میں اپنے ٹارگٹ اوپپ کو بتاؤں گا اس کھڑکی پر ہاں چل رہی ہے اور ایک بار اس کے بھری ہونے سے پھر یہ کھڑکی ہونی چاہئے جس سے ہمیں یہاں چیزوں کا ایک پورا جھنڈا ٹائپ کرنے جیسی چیزیں کرنے کی اجازت ملتی ہے اور دیکھ سکتے ہیں کہ کیا شاید حملہ آور اسے ہمارے گائے کے کھڑکی میں دیکھ سکتا ہے۔ آگے بڑھیں اور اس مخصوص براؤزر پر کلک کریں جس کو ہم نے جھکادیا ہے اور آپ دیکھ سکتے ہیں کہ یہ سب کچھ ہک شدہ براؤزر کے تحت ہے جو ہمارے آن لائن میں آف لائن والے ہیں لہذا ابتدا میں ہم دیکھ سکتے ہیں کہ یہ ایک نامعلوم براؤزر ہے جس کی اس پر متعدد مختلف مشاہدات ہیں۔ لیکن اس کا کہنا ہے کہ یہ کرومیم کی طرح لگتا ہے اور ہم تھوڑا سا اور بھی سیکھ سکتے ہیں کیونکہ وہاں کچھ کوکیز بھی موجود ہیں اور ہم جانتے ہیں کہ یہ ایک لینکس لیپ ٹاپ ہے تاکہ ابتدائی طور پر روانہ ہوجائے لیکن چلیں ہم دیکھتے ہیں کہ کچھ گائے کے گوشت میں سے گزر کر ہم کیا سیکھ سکتے ہیں۔ دوسرے ماڈیولز اگر ہم احکامات پر کلک کرتے ہیں تو ہم مختلف ایکس پوائنٹس کی ایک فہرست کو لوڈ کریں گے جو ہم چل سکتے ہیں اور اس میں یقینا social سوشل انجینئرنگ سے لے کر براؤزر سے لے کر براؤزر تک کروم ایکسٹینشن تک سب کچھ شامل ہے۔ اب اگر میں فتح ہوتا IM میں صرف ہمارے کروم پیج پر رہوں گا اور شاید چلیں اس کو تھوڑا سا منتقل کردیں آئیے ایک نظر ڈالیں کہ یہ یہاں کیا ہوتا ہے اور شاید صرف ایک دو چیزیں پاپنگ کو دیکھیں جو شائد ابتداء میں مشکوک نہیں لگتیں لیکن چلیں آگے بڑھیں اور ویب کیم کریں۔ اجازت یہاں ہے تاکہ ہم دیکھ سکتے ہیں کہ اس ماڈیول کو اس بٹن کے ذریعہ عمل میں لایا جاسکتا ہے اور ایک بار جب ہم اپنے پکے ہوئے براؤزر پر کرتے ہیں تو ہمیں ایک پاپ اپ یا کسی قسم کی چیز کو دیکھنا چاہئے جس سے ہمیں ویب کیم استعمال کرنے کی اجازت دی جائے اور حقیقت میں اس لئے کہ میں نے اسے پڑھا ہے۔ اس سے پہلے میں ویب کیمز پہلے ہی دیکھ چکا ہوں تو ایسا لگتا ہے کہ یہ کامیاب ہوچکا ہے تو آئیے آگے بڑھیں اور کچھ اور کرنے کی کوشش کریں آئیے ان سوشل انجینئرنگ ٹولز پر کلک کریں یہاں سے ہم متعدد مختلف ماڈیول دیکھ سکتے ہیں اور ہم مطلب تلاش کرنے جارہے ہیں۔ گوگل فشنگ ایک تو آگے بڑھیں اور یہاں کلک کریں اور پھر آپ دیکھیں گے کہ یہ اس شخص کی لاگ ان معلومات حاصل کرنے کے لئے ایک جی میل فشینگ پیج استعمال کرنے جارہا ہے جس پر ہم نے جھٹکا دیا ہے لہذا اگر ہم نے اس پر عملدرآمد کو دبایا تو اس کی کوشش کرنی چاہئے۔ ری ڈائریکٹ اور ہم دیکھتے ہیں بالکل اسی طرح کہ جس برائوزر کو ہم کنٹرول کررہے ہیں وہ ایک Gmail لاگ ان پیج کے فیکس کو لات مار کر مارا گیا ہے ، لیکن یہ اب بھی ایک عمدہ مثال ہے لہذا آگے بڑھیں اور اپنی جعلی دستاویزات میں ڈالیں۔ st. اچھا ہے اور ہم سائن ان کریں گے اب آپ دیکھیں گے کہ جب ہم سائن ان کرتے ہیں تو دراصل ہمیں اصل گوگل کو پڑھنے کی طرف رجوع کرتا ہے اور دلچسپ بات یہ ہے کہ اگر ہم پہلے سے ہی لاگ ان ہوتے تو شاید ہمیں کوئی فرق محسوس نہیں ہوتا کیونکہ یہ بنیادی طور پر ہوگا ہمیں ایک لاگ ان ورژن میں لوٹائیں لیکن اگر ہمارا براؤزر ہک گیا ہوتا اور ہمیں اس وقت ری ڈائریکٹ کردیا گیا ہے تو شاید اس سے ایسا ہوجائے کہ ہم نے کبھی بھی محسوس نہیں کیا اور سوچا کہ ابھی ہمارے گوگل اکاؤنٹ سے صرف لمحہ بھر سے رابطہ منقطع ہوگیا ہے جو اب نمونے میں واپس جا رہا ہے۔ صفحہ میں ماڈیولز میں جا رہا ہوں اور ہم ویب کیم کو ایک آخری نگاہ سے دیکھ رہے ہیں اور میں ایک مختلف چیز چلانے والا ہوں جو میں نے پہلے کیا تھا اور اگر ہم اسے وہاں کام کرنے کے ل can حاصل کرسکتے ہیں تو ہم چلیں گے۔ صارف تھا اور مجھے ابھی ایک نوٹس ملا ہے کہ اڈوب فلیش کا استعمال کرنے والی ویب سائٹ اور ایک پاپ اپ مجھ سے ایسا کرنے کی اجازت دینے کے لئے کہہ رہی ہے تو مجھے معلوم نہیں ہوسکتا ہے کہ ارے یہ ایک خطرہ ہے خاص کر اس وجہ سے کہ میں اسے بدل سکتا ہوں۔ اگر میں یہ کہنا چاہتا ہوں کہ اس ویب سائٹ کو آپ کے کمپیوٹر کی تازہ کاری کرنے کی ضرورت ہے جس کی تعمیل کریں سیکیورٹی معیارات یا اس طرح کی میں شاید صارف کو ٹھیک پر کلک کرنے کی تدبیر کرسکتا ہوں لیکن ان کی سیکیورٹی کو اپ ڈیٹ کرنے کے بجائے حقیقت میں صرف ان کا ویب کیم آن کرنا ہے تاکہ ان ماڈیولوں کے نتائج دیکھنے کے ل I میں نوشتہ جات میں جاسکتا ہوں اور ہمیں یہاں دیکھنا چاہئے۔ ہم یہ دیکھنے کے قابل تھے کہ جی ہاں ، میرا جعلی پاس ورڈ موجود ہے اور وہاں میرا جعلی ای میل موجود ہے لہذا ہم یہ ساری چیزیں پکڑنے میں کامیاب ہوگئے تھے اس کا مطلب یہ ہے کہ ہم واقعی ایسی دستاویزات پر قبضہ کرنے میں کامیاب ہوگئے تھے جو ایک فشینگ پیج میں داخل ہو رہے تھے جس کو ہم نے پیدا کیا تھا۔ براؤزر سے اب ہم آگے بڑھ سکتے ہیں اور نیٹ ورک کو دیکھ سکتے ہیں اور ایک چھوٹی سی قسم کا ماڈل دیکھ سکتے ہیں جس کا ہم نے قبضہ کرلیا ہے اور یہ ایک طرح سے ہمیں دکھا رہا ہے کہ جھکا ہوا براؤزر اندرونی طور پر گائے کے گوشت سے جڑا ہوا ہے اور وہاں موجود ہے ہمارے درمیان ایک فائر وال ہے لیکن ہم اب بھی ان کے براؤزر سے براہ راست جڑے ہوئے ہیں اس کی وجہ سے گزرنے کا انتظام کرنے میں کامیاب ہوگئے ہیں اس کی وجہ سے ہم ان کے فائر وال جیسی چیزوں کو حاصل کرنے میں کامیاب ہوگئے ہیں کہ ان کا روٹر ہوسٹنگ کرسکتا ہے اور میں براہ راست صارفین کے براؤزر کے ساتھ نیکٹاؤ اگرچہ اگر صارف وہاں سے باہر چلا جاتا ہے یا اگر اس سے کہیں زیادہ دوسری چیزیں ہوسکتی ہیں جیسے اسکرپٹ بلاکر جو اس پر عملدرآمد کرنے کی صلاحیت میں مداخلت کرتا ہے تو یقینا اس کو روکنے کا ایک اچھا طریقہ یہ ہے کہ انسٹال کرنا ایک توسیع انسٹال کریں۔ جس نے اس طرح کی کوئی اسکرپٹ جیسے ناجائز اسکرپٹ کو مسدود کردیا ہے جو اس سب کو روکنے سے روکتا ہے اور بنیادی طور پر یہ بناتا ہے کہ جب کچھ ویب سائٹیں ٹوٹ سکتی ہیں دوسری ویب سائٹیں ان کے مراعات کا غلط استعمال نہیں کرسکتی ہیں اور گائے کا گوشت جیسی چیزیں کرنے کی اہلیت نہیں رکھتے ہیں اب چلیں آگے بڑھیں اور نیٹ ورکنگ ماڈیول پر ایک نظر ڈالیں جب ہم کمانڈز پر جاتے ہیں تو ہم دیکھ سکتے ہیں کہ نیٹ ورک کو تلاش کرنے کی کوشش کرنے کے لئے ایک پورا پورا حص sectionہ لگا ہوا ہے جسے ہم گھسانے میں کامیاب ہوگئے ہیں چلیں آگے چلیں اور دیکھیں کہ کیا ہم پنگ میٹھی کرسکتے ہیں اور آگے چلیں اور عملدرآمد کریں اور ہم آگے بڑھیں گے اور اسی چیز کا ایک جاوا ورژن پورٹ اسکینر کریں گے ، آئیے آگے چلیں اور تفصیلات پر واپس جائیں دیکھیں کہ آیا ہمیں کوئی نئی معلومات مل سکتی ہیں اور ایسا لگتا ہے کہ ابھی تک ہم صرف ایک تھے ایک میزبان کی شناخت کے ل ble کہ وہ مقامی ہوسٹ ہے کیونکہ ہم دوسرے نیٹ ورکس کو دیکھنے کے قابل نہیں ہیں کیونکہ ہم بنیادی طور پر ایک اندرونی نیٹ ورک سے جڑے ہوئے ہیں جب کہ ہم اس ڈیمو کو چلا رہے ہیں اگر آپ کسی ایسے شخص کے خلاف چلنا چاہتے ہیں جو کسی مختلف نیٹ ورک پر ہے۔ تب ہم اس پنگ اسکین کو چلانے کے ذریعے اس نیٹ ورک پر مزید مختلف میزبانوں کو اسکین کرنے اور تلاش کرنے کے اہل ہوں گے لیکن یہ دیکھ کر کہ میں اپنے کمپیوٹر کے اندرونی نیٹ ورک پر بنیادی طور پر چلا رہا ہوں ، مجھے اپنے لئے کچھ بھی نہیں دیکھ پانا چاہئے۔ انہوں نے کہا کہ میں خود کو دیکھتا ہوں جب کہ یہ نتائج بالکل ٹھیک نہیں ہیں لیکن وہ آپ کو اس بات کا اندازہ لگاتے ہیں کہ اگر یہ اس نیٹ ورک سے منسلک ہوتا ہے جس میں دوسرے میزبانوں کے گوشت کا ایک پورا گروپ موجود ہوتا ہے تو اس سے کیا ہوسکتا ہے۔ ایک خوفناک مثال ہے کہ آپ کو کبھی بھی کسی مشکوک لنک پر کیوں نہیں کلک کرنا چاہئے چاہے ابتدا میں چیزیں ٹھیک لگیں آپ کو کسی ایسی چیز پر واقعتا really شبہ ہونا چاہئے جو کسی ویب کیم یا آڈیو تک رسائی حاصل کرنے کی اجازت کے لئے پوپ پاپ اپ ہوجائے گی بالکل اس طرح کہ گائے کا گوشت بھی ایسا کرسکتا ہے اگر آپ مثال کے طور پر کسی گھریلو نیٹ ورک پر ہیں تو آپ کو کسی مشکوک پیج پر بھیجا جاسکتا ہے اور اسے معلوم تک نہیں ہوگا اگر صفحہ صرف اجازت طلب کرنا شروع کردے اور لگتا ہے کہ آپ کی جبلت پر بھروسہ ہوتا ہے اور صرف فرض کرلیں کہ یہ بدنیتی پر مبنی ہے۔ سائبر ہتھیاروں کی لیب کے اس ایپیسوڈ کے لئے ہمارے پاس اتنا ہی ہے کہ اس میں تبصرہ کرنا اور سبسکرائب کرنا یقینی بنائیں اور اگر آپ کے ذہن میں کوئی سوال ہے یا کچھ رائے کی ضرورت ہے تو آپ کو گائے کے گوشت کے بارے میں کوئی کاٹنے کے بارے میں مضمون کی جانچ پڑتال کی جاسکتی ہے اگر آپ کے پاس مستقبل کے اقساط یا کچھ تبصرے کے بارے میں کوئی آئیڈیا ہے۔ شو میں مجھے ٹویٹر کز پر میسج بھیجیں وہ آپ سے سننا پسند کرتے ہیں ہم اگلی بار آپ کو دیکھیں گے
ENGLISH
browsers are often a popular target for hackers because compromising one means you can launch a phishing attack or even get a webcam image from the target we'll teach you how to hack browsers with beef on this episode of cyber weapons lab [Music] [Applause] [Music] people use browsers for all kinds of things and in general we trust a lot of personal information to them now browsers are a perfect attack surface for a hacker because a victim might not even know they're infected and feed you all the information you could possibly want now in order to do this you first need to trick the target into clicking a link and to generate this you can use a default Kali Linux tool called beef now there are a lot of pre-installed Kali Linux tools but beef is by far one of the most interesting it can generate a link that's able to track the target and even run modules to both escalate permission and gather more information about the person behind the computer now this even includes being able to scan behind the network that the persons on which is pretty impressive when combined with the fact that you can take pictures from the webcam see what they're typing and launch phishing pages to try to get credentials now in order to use beef I recommend you have Kali Linux installed because trying to install it otherwise on a different system I haven't tested and it may or may not work if you have any questions about the way that you need to install beef you can check out the null byte article linked in the description once you have a fully updated Kali living system then you can begin now the first and most important question to ask yourself before getting started hacking browsers is where's the beef first we need to make sure we have it installed so let's go ahead and check by typing apt install beef this should install all the necessary dependencies and as you can see although it's installed by default in kali linux there are still a couple things that can be installed once you're finished installing beef you can go to applications click on system services and you should see beef start right here now once you click on that you should see the following window now before we get started with using beef we're gonna want to know what's cooking by switching over to the github wiki article and see exactly what's going on with the modules that we can use now here we can see that there's a number of different things we can load including social engineering network discovery Metasploit tunneling cross-site scripting persistence and geolocation now we're gonna focus on social engineering and network discovery for now and this will give us the ability to do things like pop up a phishing page and try to get passwords or even attempt to do some networking and figure out what exactly is behind the firewall that otherwise we wouldn't be able to see this couldn't could include IP addresses the configuration of other browsers that are vulnerable and a lot of other information that's useful for a hacker now here you can see a couple examples of me asking for credentials modules which basically just pops up and tries to look like a Facebook page or something else asking for you to log in this is really cool because it features a number of different pre-existing phishing pages including Adobe and also as we're going to try today Gmail so we're gonna go ahead and start this in a firefox window and we're going to be attacking a chrome window which I pulled up here now I'm going to go back and we're going to in our beef control panel in our Firefox window first go ahead and go to one two seven zero zero one 3000 slash UI / panel and you'll need to login with the username beef and the password beef once you do you'll find yourself on this page and you'll see a list of online browsers as soon as you click on the default demo which is right here so I'm going to copy the link location I'm going to go ahead and point that it's already there but I'm gonna point our target oops yep to this window and once it loads it then this should be the window that allows us to do things like type a whole bunch of stuff in here and see if perhaps attacker is able to see it now over here in our beef window we can go ahead and click on this particular browser that we've hooked and you can see this is all under hooked browsers we have offline ones in online ones so initially we can see that this is an unknown browser it has a number of different hits on it but it says that it looks like chromium and we can learn a little bit more because there's also some cookies and we know it's a Linux laptop so that's a little bit to go off initially but let's see what we can learn by going through some of beefs other modules so if we click on commands we'll load a list of various X points that we can run and this includes of course everything from social engineering to browser to browser to Chrome extension let's take a look at some of the ones that are available now if I were the victim I would just be on our Chrome page and probably let's move this a little bit let's take a look at what happens it's right here and probably just see a couple things popping up that might not initially seem suspicious but let's go ahead and do a webcam permission here so we can see this module can be can be executed with this button and once we do on our cooked browser we should see a pop-up or some sort of thing asking us to let us use the webcam and actually because I read this earlier I see the webcams already on so it looks like it's succeeded so let's go ahead and try something else let's go ahead and click on these social engineering tools from here we can see a number of different modules and we're going to look for mean Google phishing one so go ahead and click here and then you'll see that this is going to use a gmail phishing page to attempt to get the login information of the person that we've hooked so if we pressed execute then it should attempt to redirect and we see that just like that the browser that we're controlling has been kicked over to a facsimile of a gmail login page now to me this looks a little bit old but it's still a pretty cool example so let's go ahead and put in our fake credentials of st. good and we'll sign in now you'll notice that when we sign in it actually redirects us to the read to the actual Google and what's interesting is if we were already logged in we probably wouldn't notice a difference because this would basically return us to a logged in version but if our browser had been hooked and we've been redirected then that might make it so that we never even noticed and thought we've been just momentarily disconnected from our Google account now going back to the sample page I'm gonna go into the modules and we're gonna take one last look at the webcam one and I'm gonna run a different one that I did before and see if we can get it to work there we go so if I was the user and I just got a notice that the websites using Adobe Flash and a pop-up asking me to allow it to do so then I might not know that hey this is a threat especially because I can change that what it says right here if I want it to say this website needs you to update your computer to comply with security standards or something like that I could maybe trick the user into clicking ok but instead of updating their security it's actually just turning on their webcam now in order to see the results of these modules I can go into the logs and here we should see that we were able to let's see yep there's my fake password and over there is my fake email so because we were able to grab all this stuff it means that we were able to actually capture credentials that were being entered into a phishing page that we created all from the browser now we can also go ahead and look at the network and see a little kind of model of what we've managed to grab ahold of and this is a kind of showing us that the hooked browser is connected to beef internally and there's a firewall between us but we're still managed to managing to get through because we're connected directly to their browser now because of this we're able to get around things like their firewall that their router might be hosting and interact directly with the users browser although this can be broken if the user navigates away or if there's other different things like maybe a script blocker that interfere with the ability to execute now a good way to block this of course is to install it install an extension that blocked malicious scripts such as no script which would prevent all this from happening and basically make it so that while some websites might be broken other websites aren't able to abuse their privileges and do stuff like beef is doing now now let's go ahead and take a look at the networking module when we go to commands we can see there's an entire section dedicated to trying to explore the network that we've managed to penetrate let's go ahead and see if we can do a ping sweet go ahead and execute and we'll also go ahead and do a port scanner and a Java version of the same thing now let's go ahead and go back to the details see if we can find any new information and it looks like so far we were only able to identify one host that being localhost because we are not going to be able to see other networks since we are basically connected to an internal network while we're running this demo if you wanted to run this against somebody who is on a different network then we would be able to scan and find more different hosts on that network by running this ping scan but seeing as I'm running basically on a network internal to my own computer I shouldn't be able to see anything aside for myself that being said I do see myself so while these results aren't exactly beefy they do give you an idea of what this would be able to pull if it was connected to a network that was hosted on a land with a whole bunch of other hosts beef is a terrifying example of why you should never click on a suspicious link even if things initially seemed fine you should be really suspicious of anything that pops up asking for permission to access a webcam or audio now permissions like this are exactly how beef can escalate so if you're for example on a home network you might be redirected to a suspicious page and not even know it so if the page simply starts asking for permissions and it seems a little bit off trust your instinct and just assume that it's malicious that's all we have for this episode of cyber weapons lab make sure to like comment and subscribe and if you have any questions or need some feedback you can check out the article on no bite about beef if you have any ideas for future episodes or any comments on the show send me a message on Twitter cuz they love to hear from you we'll see you next time
Hindi
ब्राउज़र अक्सर हैकर्स के लिए एक लोकप्रिय लक्ष्य होता है क्योंकि एक समझौता करने का मतलब है कि आप फ़िशिंग हमला शुरू कर सकते हैं या यहां तक कि लक्ष्य से वेब कैमरा छवि प्राप्त कर सकते हैं, हम आपको सिखाएंगे कि साइबर हथियार प्रयोगशाला [संगीत] के इस एपिसोड में गोमांस के साथ ब्राउज़र कैसे हैक करें ] [संगीत] लोग सभी प्रकार की चीजों के लिए ब्राउज़रों का उपयोग करते हैं और सामान्य तौर पर हम उन पर बहुत सारी व्यक्तिगत जानकारी पर भरोसा करते हैं अब ब्राउज़र एक हैकर के लिए एक सही हमले की सतह हैं क्योंकि एक पीड़ित को शायद यह भी पता नहीं है कि वे संक्रमित हैं और आप सभी को खिलाते हैं। जानकारी जिसे आप संभवतः अभी चाहते हैं ऐसा करने के लिए आपको पहले लक्ष्य को एक लिंक पर क्लिक करने में ट्रिक करने की आवश्यकता है और इसे उत्पन्न करने के लिए आप एक डिफ़ॉल्ट काली लिनक्स टूल का उपयोग कर सकते हैं जिसे बीफ कहा जाता है अब बहुत पहले से स्थापित काली लिनक्स टूल हैं लेकिन बीफ अब तक के सबसे दिलचस्प में से एक यह एक लिंक उत्पन्न कर सकता है जो लक्ष्य को ट्रैक करने में सक्षम है और यहां तक कि दोनों को अनुमति देने के लिए मॉड्यूल भी चला सकता है और कंप्यूटर के पीछे के व्यक्ति के बारे में अधिक जानकारी इकट्ठा कर सकता है जिसमें अब स्कैन करना भी शामिल है। उस नेटवर्क के पीछे, जिस पर लोग बहुत प्रभावशाली हैं, जब इस तथ्य के साथ संयुक्त कि आप वेब कैमरा से चित्र ले सकते हैं, यह देखें कि वे क्या टाइप कर रहे हैं और फ़िशिंग पृष्ठ लॉन्च करते हैं, अब बीफ़ का उपयोग करने के लिए क्रेडेंशियल्स प्राप्त करने का प्रयास करने के लिए मैं आपको काली की सलाह देता हूं। लिनक्स स्थापित है क्योंकि इसे अन्यथा एक अलग प्रणाली पर स्थापित करने की कोशिश कर रहा हूं जिसे मैंने परीक्षण नहीं किया है और यह काम कर सकता है या नहीं भी हो सकता है यदि आपके पास बीफ़ को स्थापित करने के तरीके के बारे में कोई प्रश्न हैं तो आप विवरण में जुड़े नल बाइट लेख की जांच कर सकते हैं। एक बार जब आपके पास पूरी तरह से अपडेटेड काली लिविंग सिस्टम हो जाता है, तो आप अब हैकिंग ब्राउज़र शुरू करने से पहले खुद से पूछने के लिए पहला और सबसे महत्वपूर्ण सवाल शुरू कर सकते हैं, यह है कि बीफ सबसे पहले हमें यह सुनिश्चित करने की आवश्यकता है कि हमने इसे स्थापित किया है इसलिए हम आगे बढ़ें और टाइप करके देखें उपयुक्त बीफ़ स्थापित करें यह सभी आवश्यक निर्भरताएं स्थापित करना चाहिए और जैसा कि आप देख सकते हैं कि यह काली लिनक्स में डिफ़ॉल्ट रूप से स्थापित है, फिर भी कुछ चीजें हैं जिन्हें एक बार स्थापित करने के बाद आप बारीक हो सकते हैं गोमांस स्थापित करने से आप एप्लिकेशन पर जा सकते हैं, सिस्टम सेवाओं पर क्लिक कर सकते हैं और आपको गोमांस शुरू करते हुए अभी देखना चाहिए एक बार जब आप उस पर क्लिक करते हैं, तो आपको निम्न विंडो को देखना चाहिए, इससे पहले कि हम गोमांस का उपयोग करना शुरू कर दें, हम यह जानना चाहते हैं कि क्या खाना बनाना है गिटहब विकी लेख पर स्विच करना और देखें कि वास्तव में मॉड्यूल के साथ क्या हो रहा है जिसे हम अब यहां उपयोग कर सकते हैं हम देख सकते हैं कि कई अलग-अलग चीजें हैं जिन्हें हम सामाजिक इंजीनियरिंग नेटवर्क खोज सहित लोड कर सकते हैं मेटास्प्लोइट टनलिंग क्रॉस-साइट स्क्रिप्टिंग दृढ़ता और जियोलोकेशन अब। हम अभी के लिए सोशल इंजीनियरिंग और नेटवर्क खोज पर ध्यान केंद्रित करने जा रहे हैं और यह हमें एक फ़िशिंग पेज को पॉप अप करने और पासवर्ड प्राप्त करने की कोशिश करने या कुछ नेटवर्किंग करने और यहां तक कि फ़ायरवॉल के पीछे क्या है यह पता लगाने का प्रयास करने की क्षमता देगा। अन्यथा हम यह देखने में सक्षम नहीं होंगे कि इसमें अन्य ब्राउज़र के कॉन्फ़िगरेशन को IP पते शामिल नहीं किया जा सकता है जो असुरक्षित हैं और बहुत सारी अन्य जानकारी है हैकर के लिए उपयोगी अब यहाँ आप मेरे कुछ उदाहरण देख सकते हैं जो क्रेडेंशियल मॉड्यूल के लिए पूछ रहे हैं जो मूल रूप से बस पॉप अप करता है और फेसबुक पेज की तरह दिखने की कोशिश करता है या कुछ और जो आपको लॉग इन करने के लिए कह रहा है वह वास्तव में अच्छा है क्योंकि इसमें कई तरह के फीचर हैं एडोब सहित विभिन्न पूर्व-मौजूदा फ़िशिंग पृष्ठ और आज हम जीमेल की कोशिश करने जा रहे हैं, इसलिए हम आगे बढ़ने वाले हैं और इसे फ़ायरफ़ॉक्स विंडो में शुरू करेंगे और हम क्रोम विंडो पर हमला करने जा रहे हैं, जिसे मैंने अब यहाँ खींच लिया है। मैं वापस जा रहा हूँ और हम अपने फ़ायरफ़ॉक्स विंडो में हमारे बीफ़ कंट्रोल पैनल में जा रहे हैं और सबसे पहले एक दो सात शून्य शून्य एक 3000 स्लैश यूआई / पैनल पर जाएं और आपको उपयोगकर्ता नाम बीफ़ के साथ लॉगिन करना होगा और पासवर्ड बीफ़ करने के बाद एक बार जब आप अपने आप को इस पेज पर पाएंगे और जैसे ही आप डिफ़ॉल्ट डेमो पर क्लिक करते हैं, तो ऑनलाइन ब्राउज़रों की एक सूची दिखाई देगी, जो कि यहीं है, इसलिए मैं लिंक स्थान I की प्रतिलिपि बनाने जा रहा हूं। मैं आगे जा रहा हूँ और इंगित करता हूँ कि यह पहले से ही है, लेकिन मैं अपना लक्ष्य ऊप कर रहा हूँ इस विंडो के लिए हाँ और एक बार जब यह लोड हो जाता है तो यह वह विंडो होनी चाहिए जो हमें सामान की एक पूरी तरह से सामान यहां करने की अनुमति देती है और देखें कि क्या हमलावर अब इसे हमारे बीफ विंडो में देख सकते हैं। आगे बढ़ें और इस विशेष ब्राउज़र पर क्लिक करें जिसे हमने हुक किया है और आप यह देख सकते हैं कि यह सभी हुक किए गए ब्राउज़रों के अंतर्गत हैं, जिनके पास ऑनलाइन में ऑफ़लाइन हैं इसलिए प्रारंभ में हम देख सकते हैं कि यह एक अज्ञात ब्राउज़र है, इस पर कई अलग-अलग हिट हैं लेकिन यह कहता है कि यह क्रोमियम की तरह दिखता है और हम थोड़ा और सीख सकते हैं क्योंकि कुछ कुकीज़ भी हैं और हम जानते हैं कि यह एक लिनक्स लैपटॉप है ताकि शुरुआत में थोड़ा हट जाए लेकिन हम देखते हैं कि कुछ बीफ के माध्यम से हम क्या सीख सकते हैं अन्य मॉड्यूल इसलिए यदि हम आदेशों पर क्लिक करते हैं तो हम विभिन्न एक्स पॉइंट्स की एक सूची लोड करेंगे, जिन्हें हम चला सकते हैं और इसमें निश्चित रूप से सोशल इंजीनियरिंग से ब्राउज़र तक ब्राउज़र से लेकर क्रोम एक्सटेंशन तक सब कुछ उपलब्ध हैं अब अगर मैं जीत गया im मैं अभी हमारे क्रोम पेज पर हूँ और शायद इसे थोड़ा आगे बढ़ाते हैं, आइए एक नज़र डालते हैं कि क्या होता है यहीं और शायद बस एक जोड़ी चीजों को पॉपिंग करते हुए देखें जो शुरू में संदेहास्पद नहीं लग सकते हैं लेकिन चलो आगे बढ़ते हैं और एक वेब कैमरा करते हैं यहाँ अनुमति इसलिए हम देख सकते हैं कि इस मॉड्यूल को इस बटन के साथ निष्पादित किया जा सकता है और एक बार जब हम अपने पकाए गए ब्राउज़र पर करते हैं तो हमें एक पॉप-अप या किसी प्रकार की चीज़ देखनी चाहिए जो हमें वेबकैम का उपयोग करने के लिए कहें और वास्तव में क्योंकि मैंने इसे पढ़ा है पहले मैं पहले से ही वेबकैम को देख रहा हूँ, ऐसा लगता है कि यह सफल हो गया है तो चलिए आगे बढ़ते हैं और कुछ और करने की कोशिश करते हैं और आगे बढ़ते हैं और इन सोशल इंजीनियरिंग टूल्स पर क्लिक करते हैं यहाँ से हम कई अलग-अलग मॉड्यूल देख सकते हैं और हम माध्य देखने जा रहे हैं Google फ़िशिंग करता है, इसलिए आगे बढ़ें और यहाँ क्लिक करें और फिर आप देखेंगे कि यह उस व्यक्ति के लॉगिन जानकारी प्राप्त करने का प्रयास करने के लिए gmail फ़िशिंग पृष्ठ का उपयोग करने वाला है जिसे हमने हुक किया है इसलिए यदि हमने निष्पादन को दबाया है तो उसे प्रयास करना चाहिए रीडायरेक्ट और हम वें देखते हैं ठीक उसी तरह जिस ब्राउज़र को हम नियंत्रित कर रहे हैं, उसे अब एक gmail लॉगिन पृष्ठ के मुख पृष्ठ पर किक किया गया है, यह मुझे थोड़ा पुराना लग रहा है, लेकिन यह अभी भी बहुत अच्छा उदाहरण है तो चलिए आगे बढ़ते हैं और अपनी नकली साख में डालते हैं सेंट। अच्छा और हम अब साइन इन करेंगे आप देखेंगे कि जब हम साइन इन करते हैं तो वास्तव में हमें वास्तविक Google पर पढ़ने के लिए रीडायरेक्ट करता है और क्या दिलचस्प है अगर हम पहले से ही लॉग इन थे तो शायद हमें फर्क नहीं दिखेगा क्योंकि यह मूल रूप से होगा हमें एक लॉग इन संस्करण में लौटाएं लेकिन यदि हमारा ब्राउज़र हुक कर दिया गया था और हमें फिर से निर्देशित कर दिया गया है, तो वह ऐसा कर सकता है जिससे कि हमने कभी भी गौर नहीं किया और सोचा कि हमें पल-पल में अपने Google खाते से डिस्कनेक्ट कर दिया गया है जो अब नमूने पर वापस जा रहा है Page उपयोगकर्ता था और मुझे बस एक सूचना मिली कि Adobe Flash और एक पॉप-अप का उपयोग करने वाली वेबसाइटें मुझे ऐसा करने की अनुमति देने के लिए कह रही हैं, तो मैं नहीं जानता कि हे विशेष रूप से यह एक खतरा है क्योंकि मैं इसे बदल सकता हूं जो इसे यहीं कहता है अगर मैं यह कहना चाहता हूं कि इस वेबसाइट को आपको अनुपालन करने के लिए अपने कंप्यूटर को अपडेट करने की आवश्यकता है सुरक्षा मानक या ऐसा कुछ जो मैं शायद ठीक क्लिक करने में उपयोगकर्ता को बरगला सकता हूं, लेकिन अपनी सुरक्षा को अपडेट करने के बजाय यह वास्तव में अब अपने वेबकैम को चालू कर रहा है ताकि इन मॉड्यूल के परिणामों को देखने के लिए मैं लॉग में जा सकूं और यहां हमें यह देखना चाहिए कि हम यह देखने में सक्षम थे कि हां मेरा फर्जी पासवर्ड है और वहां पर मेरा फर्जी ईमेल है, क्योंकि हम यह सब सामान हड़पने में सक्षम थे, इसका मतलब है कि हम वास्तव में उन क्रेडेंशियल्स पर कब्जा करने में सक्षम थे जो एक फ़िशिंग पेज में दर्ज किए जा रहे थे जिसे हमने बनाया था ब्राउज़र से अब हम आगे भी जा सकते हैं और नेटवर्क को देख सकते हैं और एक छोटे प्रकार के मॉडल को देख सकते हैं कि हम किस चीज़ को हथियाने में कामयाब रहे हैं और यह हमें दिखाने का एक प्रकार है कि झुका हुआ ब्राउज़र आंतरिक रूप से बीफ़ से जुड़ा हुआ है और वहाँ है हम दोनों के बीच एक फ़ायरवॉल है लेकिन हम अभी भी इसे प्रबंधित करने में कामयाब रहे हैं क्योंकि हम अब सीधे अपने ब्राउज़र से जुड़े हुए हैं क्योंकि इस वजह से हम अपने फ़ायरवॉल जैसी चीज़ों को प्राप्त करने में सक्षम हैं जो उनके राउटर की मेजबानी कर सकते हैं और मैं उपयोगकर्ताओं के ब्राउज़र के साथ सीधे संपर्क करना, हालांकि इसे तब तोड़ा जा सकता है जब उपयोगकर्ता दूर से नेविगेट करता है या यदि कोई अन्य अवरोधक हो सकता है जैसे कि स्क्रिप्ट अवरोधक, जो निष्पादित करने की क्षमता में हस्तक्षेप करता है, तो इस कोर्स को ब्लॉक करने का एक अच्छा तरीका यह है कि इसे एक्सटेंशन इंस्टॉल करना है उस अवरुद्ध स्क्रिप्ट जैसे कोई स्क्रिप्ट नहीं है जो यह सब होने से रोकेगी और मूल रूप से ऐसा करेगी ताकि कुछ वेबसाइटों को तोड़ा जा सके जबकि अन्य वेबसाइटें अपने विशेषाधिकारों का दुरुपयोग नहीं कर पाती हैं और गोमांस जैसा सामान अब कर रही है, अब आगे बढ़ते हैं और नेटवर्किंग मॉड्यूल पर एक नज़र डालें जब हम आज्ञाओं पर जाते हैं तो हम देख सकते हैं कि नेटवर्क का पता लगाने की कोशिश करने के लिए समर्पित एक पूरा खंड है जिसे हमने घुसना करने में कामयाब किया है और देखते हैं कि क्या हम एक पिंग स्वीट कर सकते हैं और आगे बढ़ सकते हैं और हम आगे भी बढ़ेंगे और एक पोर्ट स्कैनर और उसी चीज़ का एक जावा संस्करण अब आगे चलते हैं और विवरणों पर वापस जाते हैं यदि हम कोई नई जानकारी पा सकते हैं और ऐसा लगता है कि अब तक हम केवल एक एक होस्ट की पहचान करने के लिए तैयार किया गया है जो कि लोकलहोस्ट होने के कारण हम अन्य नेटवर्क को देखने में सक्षम नहीं हो रहे हैं क्योंकि हम मूल रूप से एक आंतरिक नेटवर्क से जुड़े हुए हैं, जबकि हम इस डेमो को चला रहे हैं यदि आप इसे किसी ऐसे व्यक्ति के खिलाफ चलाना चाहते हैं जो अलग नेटवर्क पर है तब हम इस पिंग स्कैन को चलाकर उस नेटवर्क पर अधिक अलग-अलग होस्ट को स्कैन कर पाएंगे और देख पाएंगे, क्योंकि मैं अपने कंप्यूटर पर आंतरिक रूप से मूल रूप से चल रहा हूं, मुझे अपने लिए अलग से कुछ भी देखने में सक्षम नहीं होना चाहिए। मैंने कहा कि मैं खुद को देख रहा हूं, जबकि ये परिणाम बिल्कुल गोमांस नहीं हैं, वे आपको इस बात का अंदाजा देते हैं कि यह क्या खींचने में सक्षम होगा यदि यह एक नेटवर्क से जुड़ा था जो अन्य मेजर बीफ के पूरे समूह के साथ एक भूमि पर होस्ट किया गया है। एक भयानक उदाहरण है कि आपको कभी भी एक संदिग्ध लिंक पर क्लिक नहीं करना चाहिए, भले ही शुरू में चीजें ठीक लग रही हों, आपको वास्तव में किसी भी चीज के बारे में संदेह होना चाहिए, जो किसी वेब कैमरा या ऑडियो तक पहुंचने की अनुमति मांगता है, इस तरह की अनुमतियाँ ठीक उसी तरह हैं जैसे कि बीफ ई। यदि आप उदाहरण के लिए होम नेटवर्क पर हैं, तो आपको एक संदेहास्पद पृष्ठ पर रीडायरेक्ट किया जा सकता है, और यह भी नहीं पता है कि अगर पेज केवल अनुमतियों के लिए पूछना शुरू कर देता है और यह आपकी प्रवृत्ति पर विश्वास करना थोड़ा कम लगता है और यह मान लें कि यह दुर्भावनापूर्ण है साइबर हथियार लैब के इस एपिसोड के लिए हमारे पास बस इतना ही है कि कमेंट और सब्सक्राइब जरूर करें और अगर आपको कोई सवाल पूछना हो या कोई प्रतिक्रिया चाहिए तो आप भविष्य में बीफ के बारे में कोई काट-छाँट नहीं कर सकते, अगर आपके पास भविष्य के एपिसोड या किसी भी टिप्पणी के लिए कोई विचार है शो में मुझे ट्विटर पर एक संदेश भेजते हैं कि वे आपसे सुनना पसंद करते हैं, हम आपको अगली बार देखेंगे
Post a Comment