segunda-feira, 2 de abril de 2012

Pharming Windows



A técnica de Pharming no Windows se baseia em trocar os DNS’s de um arquivo, fazendo assim, você acessar um site sem a intenção de fazer aquilo.

O arquivo é o C:\Windows\System32\drivers\etc e possui uma lista de DNS’s com endereços de IP.


O que ele faz?

Ele simplesmente faz o seguinte:
Quando você digita 127.0.0.1, ele abre o endereço localhost automaticamente… E na barra de endereços, o endereço fica 127.0.0.1.

Pera ae… Isso quer dizer que eu posso fazer a vítima acessar um site, o site aparecer corretamente na barra de endereços e a vítima estar acessando outro site? CORRETO!
Abrindo o arquivo com o bloco de notas, podemos ver:


# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
127.0.0.1 localhost

Agora, vamos pegar por exemplo, o IP de Google.com e o DNS de Orkut.com e adicionar no arquivo (assim, quando a você tentar acessar o Orkut, você vai cair no Google).

Dando um ping www.google.com, temos:

Disparando www.l.google.com [64.233.163.104] com 32 bytes de dados:
Resposta de 64.233.163.104: bytes=32 tempo=50ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=45ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=46ms TTL=56
Resposta de 64.233.163.104: bytes=32 tempo=49ms TTL=56


Agora, pegamos o IP do Google.com (64.233.163.104) e acrescentamos, junto ao DNS do Orkut.com, no arquivo hosts.



# Copyright (c) 1993-2009 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
# localhost name resolution is handled within DNS itself.
# 127.0.0.1 localhost
127.0.0.1 localhost
64.233.163.104 www.orkut.com



Pronto! Agora, quando você for acessar Orkut.com, vai abrir a página do Google.com (na barra de endereços, continuará Orkut.com).

Assim, se você fizer isso com uma página fake, a vítima verá a barra de endereçõs idêntica, mas estará logando em outro site! Isso foi apenas para explicar como funciona o Pharming (Windows) com um pouco de imaginação e SEing, ai ai…

Credito : Forum Darkers

Nenhum comentário:

Postar um comentário