Arkadaşlar merhaba
Bugün sizlere hackerlıktaki creativite mantığının önemini vurgulamak için bu konuyu yazıyorum.
Belli başlı sosyal medya hesaplarını ele geçirebilmek için birden fazla sosyal mühendislik yapıldığı zamanlarda fark edilme olasılığımız çok yüksektir.
Çünkü aynı kişiye farklı bahanelerle aynı şeyi yapmasını (fake sayfaya şifreyi girmesini) istiyoruz.
Bu duruma çözüm olarakta tek bir sosyal mühendislik ile karşı tarafa RAT atma olayı gerçekleşiyor.
Evet gayet güzel sonuçlar doğurabiliyor ancak biz herşeyi kullanıcıdan girmesini istiyoruz.
Ve istediğimiz hesaplar herzaman düşmeyebilir.
(Örn:İnstagram,Facebook şuanki sosyal medya girişlerin çoğu telefon ile yapılıyor ve telefonada direk olarak keylogger atmıyoruz.)
Bunları göz önüne alırsak ve günümüzdeki sıkıntıları fark edersek, kolay bir mantıkla biz bu durumunda altından kalkabiliriz.
Benim ürettiğim mantık direk şu şekilde oldu.(Tabikide farklı yollarda üretebilirsiniz)
Karşı tarafa atılan bir RAT sayesinde telefona erişim sağlayabildik.
(Artık orası sizin SM'nize kalmış bir beceridir.)
Bunuda métasploit ile gerçekleştirdim.
Artık karşı tarafın sıkça kullandığı bir cihazdayız.
Ve sıkça kullandığından ötürü belli başlı işlerinide bu cihaz üzerinden yürütmekte.
İşte bizde tam burada yapılan bir güvenliği bypass ederek istediğimizi elde edeceğiz.
ŞİFREMİ UNUTTUM
Şifrenizi unuttuğunuz zaman çoğu sosyal medya sitesi kayıt olduğunuz telefon numarasına bir SMS yollayarak sizden yollanan şifreyi ister.
Ele geçirmiş olduğumuz telefonun numarası ile giriş yaptığımız bir sosyal medya hesabında şifreyi unuttum derseniz direk olarak o telefon numarasına kodu yollayacaktır.
Bizde meterpreterla elde ettiğimiz oturumda şu komutu vererek yollanan koda ulaşabiliriz.
Karşı tarafın telefonundan çektiğimiz SMSleri hemen home kısmına bırakacaktır.
Ve geri kalan tek şey metin belgesini okuyup, oradaki kodu yerine yazmak.
Bu sayede Gmail, Instagram, Facebook, Telegram gibi bu sistemi kullanan sosyal medya hesaplarını ele geçirebilirsiniz.
BONUS
Eğer sizin amacınız Whatsapp gibi mesajlarının gizliliğine daha çok önem veren sosyal medya hesabıysa birazdaha farklı gitmenizi tavsiye ederim.
*(Tabiki ilk yöntem buradada geçerli ancak Whatsapp aynı anda 2 telefonda çalışan hesaplarda sıkıntı çıkarmakta ve kullanıcıya bunu bildirip diğer hesaptan kolaylıkla çıkış yapabilmektedir.)*
Whatsapp mesajlarının güvenliği için günlük olarak mesajlarını yedeklemekte ve bunları şifrelemektedir.
İlk olarak yapmamız gereken hareket şifrelediği yedekleri ele geçirmek.
Pekte zor bir hareket değil açıkçası.
Elimizdeki bu yedeklerle(database) şuanlık birşey yapabilmemiz mümkün değil.
Çünkü elimideki tüm yedekler şifrelenmiş durumda ve bu dosyaları okuyabilmesi için Whatsappın bir key'e ihtiyacı var.
Bunuda telefonun /data/data/files/com.whatsapp/key kısmında saklamakta.
Malesef bu kısım root yetkisinde olduğundan ötürü direkt olarak keyi çekemiyoruz.(Tabi karşı tarafın cihazı rootlu ise hiç bir sıkıntı olmadan alabilirsiniz.)
Burada direk olarak cihaz ile kanlı canlı bağ kurup telefonu kendi bilgisayarımıza takmalıyız.
Sonrasında bu sayfadaki uygulama ile keyi rahatlıkla çekebiliriz.
https://github.com/AbinashBishoyi/WhatsApp-Key-DB-Extractor-UnOfficial
Elimizdeki key ile yedekleri hazırlayıp şu uygulama yardımıyla rahatlıkla okuyabiliriz.
https://github.com/andreas-mausch/whatsapp-viewer
*NOT
Eğer ilk yöntem ile Whatsapp'ı ele geçirirseniz eski konuşmaları okuyamayacaksınız ancak karşı taraf adına mesaj yollayabilceksiniz. Ve fark edilip bağlantınızında kesilmeside karşı taraf görünceye kadar olacaktır.
Eğer ikinci yöntem ile Whatsapp'a bakıyorsanız eski konuşmaları okuyabilir ancak başka kullanıcılara yazamazsınız.
Sizde benim gibi bu kısımın eksiklerinden şikayetçi iseniz iki yöntemide karıştırıp üçüncü yöntemide kullanabilrisiniz.
Ele geçirdiğimiz yedekleri kendi Whatsapp'ımızı silip onun yedeklerinin olduğu yere yerleştirip Whatsapp'ı kurabilirsiniz.
Açılış kısmında telefon numarasını karşı tarafın numarasını vererek devam edin ve gelen mesajı RAT aracılığı ile alıp giriş yapın.
Okuduğunuz için teşekkür ederim.
Buna benzer konuların gelmesi için teşekkür etmeyi unutmayınız.
İyi forumlar.
Bugün sizlere hackerlıktaki creativite mantığının önemini vurgulamak için bu konuyu yazıyorum.
Belli başlı sosyal medya hesaplarını ele geçirebilmek için birden fazla sosyal mühendislik yapıldığı zamanlarda fark edilme olasılığımız çok yüksektir.
Çünkü aynı kişiye farklı bahanelerle aynı şeyi yapmasını (fake sayfaya şifreyi girmesini) istiyoruz.
Bu duruma çözüm olarakta tek bir sosyal mühendislik ile karşı tarafa RAT atma olayı gerçekleşiyor.
Evet gayet güzel sonuçlar doğurabiliyor ancak biz herşeyi kullanıcıdan girmesini istiyoruz.
Ve istediğimiz hesaplar herzaman düşmeyebilir.
(Örn:İnstagram,Facebook şuanki sosyal medya girişlerin çoğu telefon ile yapılıyor ve telefonada direk olarak keylogger atmıyoruz.)
Bunları göz önüne alırsak ve günümüzdeki sıkıntıları fark edersek, kolay bir mantıkla biz bu durumunda altından kalkabiliriz.
Benim ürettiğim mantık direk şu şekilde oldu.(Tabikide farklı yollarda üretebilirsiniz)
Karşı tarafa atılan bir RAT sayesinde telefona erişim sağlayabildik.
(Artık orası sizin SM'nize kalmış bir beceridir.)
Bunuda métasploit ile gerçekleştirdim.
Artık karşı tarafın sıkça kullandığı bir cihazdayız.
Ve sıkça kullandığından ötürü belli başlı işlerinide bu cihaz üzerinden yürütmekte.
İşte bizde tam burada yapılan bir güvenliği bypass ederek istediğimizi elde edeceğiz.
ŞİFREMİ UNUTTUM
Şifrenizi unuttuğunuz zaman çoğu sosyal medya sitesi kayıt olduğunuz telefon numarasına bir SMS yollayarak sizden yollanan şifreyi ister.
Ele geçirmiş olduğumuz telefonun numarası ile giriş yaptığımız bir sosyal medya hesabında şifreyi unuttum derseniz direk olarak o telefon numarasına kodu yollayacaktır.
Bizde meterpreterla elde ettiğimiz oturumda şu komutu vererek yollanan koda ulaşabiliriz.
Karşı tarafın telefonundan çektiğimiz SMSleri hemen home kısmına bırakacaktır.
Ve geri kalan tek şey metin belgesini okuyup, oradaki kodu yerine yazmak.
Bu sayede Gmail, Instagram, Facebook, Telegram gibi bu sistemi kullanan sosyal medya hesaplarını ele geçirebilirsiniz.
BONUS
Eğer sizin amacınız Whatsapp gibi mesajlarının gizliliğine daha çok önem veren sosyal medya hesabıysa birazdaha farklı gitmenizi tavsiye ederim.
*(Tabiki ilk yöntem buradada geçerli ancak Whatsapp aynı anda 2 telefonda çalışan hesaplarda sıkıntı çıkarmakta ve kullanıcıya bunu bildirip diğer hesaptan kolaylıkla çıkış yapabilmektedir.)*
Whatsapp mesajlarının güvenliği için günlük olarak mesajlarını yedeklemekte ve bunları şifrelemektedir.
İlk olarak yapmamız gereken hareket şifrelediği yedekleri ele geçirmek.
Pekte zor bir hareket değil açıkçası.
Elimizdeki bu yedeklerle(database) şuanlık birşey yapabilmemiz mümkün değil.
Çünkü elimideki tüm yedekler şifrelenmiş durumda ve bu dosyaları okuyabilmesi için Whatsappın bir key'e ihtiyacı var.
Bunuda telefonun /data/data/files/com.whatsapp/key kısmında saklamakta.
Malesef bu kısım root yetkisinde olduğundan ötürü direkt olarak keyi çekemiyoruz.(Tabi karşı tarafın cihazı rootlu ise hiç bir sıkıntı olmadan alabilirsiniz.)
Burada direk olarak cihaz ile kanlı canlı bağ kurup telefonu kendi bilgisayarımıza takmalıyız.
Sonrasında bu sayfadaki uygulama ile keyi rahatlıkla çekebiliriz.
https://github.com/AbinashBishoyi/WhatsApp-Key-DB-Extractor-UnOfficial
Elimizdeki key ile yedekleri hazırlayıp şu uygulama yardımıyla rahatlıkla okuyabiliriz.
https://github.com/andreas-mausch/whatsapp-viewer
*NOT
Eğer ilk yöntem ile Whatsapp'ı ele geçirirseniz eski konuşmaları okuyamayacaksınız ancak karşı taraf adına mesaj yollayabilceksiniz. Ve fark edilip bağlantınızında kesilmeside karşı taraf görünceye kadar olacaktır.
Eğer ikinci yöntem ile Whatsapp'a bakıyorsanız eski konuşmaları okuyabilir ancak başka kullanıcılara yazamazsınız.
Sizde benim gibi bu kısımın eksiklerinden şikayetçi iseniz iki yöntemide karıştırıp üçüncü yöntemide kullanabilrisiniz.
Ele geçirdiğimiz yedekleri kendi Whatsapp'ımızı silip onun yedeklerinin olduğu yere yerleştirip Whatsapp'ı kurabilirsiniz.
Açılış kısmında telefon numarasını karşı tarafın numarasını vererek devam edin ve gelen mesajı RAT aracılığı ile alıp giriş yapın.
Okuduğunuz için teşekkür ederim.
Buna benzer konuların gelmesi için teşekkür etmeyi unutmayınız.
İyi forumlar.
1. yöntem ise çok sevdiğim bir kızın telefonunu kurcalamak için deneyeceğim 
