红队之 Seeker 钓鱼定位日穿家门

关注公众号回复20231225获取下载地址

Seeker 背后的概念很简单，就像我们托管网络钓鱼页面来获取凭据一样，为什么不像许多流行的基于位置的网站那样托管一个请求您位置的虚假页面。 Seeker 托管一个虚假网站，该网站请求位置权限，如果目标允许，我们可以获得：

• 经度

• 纬度

• 准确性

• 海拔高度 - 并不总是可用

• 方向 - 仅当用户移动时可用

• 速度 - 仅当用户移动时可用

除了位置信息之外，我们还 获取设备信息： 无需任何权限即可

• 使用 Canvas 指纹识别的唯一 ID

• 设备型号 - 并不总是可用

• 操作系统

• 平台

• CPU 核心数量 - 近似结果

• RAM 量 - 近似结果

• 屏幕分辨率

• GPU信息

• 浏览器名称和版本

• 公共IP地址

• 本地IP地址

• 本地端口

自动IP地址侦察。 收到上述信息后会进行

该工具是一个概念证明，仅用于教育目的，Seeker 显示恶意网站可以收集有关您和您的设备的哪些数据，以及为什么您不应单击随机链接并允许关键权限（例如位置等）。

This tool is a Proof of Concept and is for Educational Purposes Only, Seeker shows what data a malicious website can gather about you and your devices and why you should not click on random links and allow critical permissions such as Location etc.

这与 IP 地理位置有何不同

• 其他工具和服务提供的 IP 地理定位根本不准确，并且不提供目标位置，而是提供 ISP 的大致位置。

• Seeker 使用 HTML API 并获取位置权限，然后使用设备中存在的 GPS 硬件获取经度和纬度，因此 Seeker 在智能手机上效果最佳，如果不存在 GPS 硬件（例如在笔记本电脑上），Seeker 会回退到 IP 地理定位或者它会寻找缓存的坐标。

• 一般情况下，如果用户接受位置许可，接收到的信息精度 精确到大约30米

• 准确性取决于您可能控制也可能不控制的多种因素，例如：

• 设备 - 无法在 GPS 损坏的笔记本电脑或手机上运行

• 浏览器 - 某些浏览器会阻止 JavaScript

• GPS 校准 - 如果 GPS 未校准，您可能会得到不准确的结果，这种情况很常见 

Templates

Available Templates :

• NearYou

• Google Drive (Suggested by @Akaal_no_one)

• WhatsApp (Suggested by @Dazmed707)

• Telegram

• Zoom (Made by @a7maadf)

• Google reCAPTCHA (Made by @MrEgyptian)

Create your own template ! Steps to let you create your template is described in this how-to

Once your template is ready, do not forget to propose it to the community via a PR (pull request)

加微信入群

微信号：echo_Abyss

原文始发于微信公众号（风信Purrs）：红队之 Seeker 钓鱼定位日穿家门