Bypass 谷歌登录的二次验证
大家好, 今天的文章将非常有趣,因为我们将讨论一种方法,我们可以使用这种方法通过欺骗受害者来轻松绕过“ Google 双因素身份验证”。
首先获取凭证
要绕过任何谷歌帐户的双因素身份验证,您必须首先拥有该帐户的用户名和密码,还必须使用网络钓鱼和社会工程来获取凭据。
但问题是我们如何做到这一切?这一切都很容易做到,你只需要使用一个名为“ Advphishing ”的工具
你就可以 通过使用假的 WhatsApp 号码轻松获取受害者的帐户用户名、密码甚至 OTP 。
我们会做什么 ?
通常当我们第一次尝试从 google chrome 登录我们的 google 帐户时,它会让我们做一些安全过程来查明那个人是否是正确的人。
谷歌为我们提供了几个成功登录帐户的功能,所有这些功能都有一个名为“点击通知继续”的双因素身份验证功能,其中包含攻击者的设备信息,提醒受害者不允许攻击者登录他的帐户。
所以我们只需要将我们的设备信息替换成受害者正在使用的设备信息,我们就可以对受害者进行诈骗。
因此,在本教程中,你将了解如何通过欺骗受害者来绕过双因素身份验证。
社会工程学
真正的步骤从这里开始,我们现在将使用社会工程技术来捕获受害者的设备信息。它很容易实现。
一旦受害者点击您提供的链接,您就可以轻松获得有关其设备的所有深层信息。
输入找到的凭据
让我们转到 Google 帐户并输入凭据,但输入密码后不要提交。
使用Burpsuite 工具
kali linux操作系统预装的Web应用渗透测试顶级工具,你需要打开它,但我们不设置代理就无法使用它,所以你必须先配置代理。
一切都完成后, “打开”拦截模式,然后转到谷歌帐户并单击 “下一步”。设备信息始终存储在“ User-Agent”参数中,我们需要将其替换为从足迹中找到的受害设备信息。让我们改变它。
好的 ,我们已经更改了从足迹中获得的所有信息。更改后,转发请求。
我们必须再次遵循我们在上一步中完成的相同过程。更改后转发请求并“关闭”拦截模式。
注意 您必须在很快的时间内完成这两个步骤。
一旦您转发请求,就会向受害者手机发送一条通知警报,并要求允许该帐户登录受害者正在使用的设备。现在受害者会认为请求一定来自我的设备并允许他登录。
绕过
So Easy!我们使用社会工程学技术接管了google帐户是多么容易。
推荐阅读:
点赞,转发,在看
原文始发于微信公众号(HACK学习呀):干货 | Bypass 谷歌登录的二次验证
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论