- 0.1:环境要求
- 0.2:配置及使用
社工—定位小工具
最近随便逛了一下Github,发现了一个可以用来定位的社工小工具:Seeker
,今天就一起来了解一下。
GitHub下载地址:thewhiteh4t/seeker: Accurately Locate Smartphones using Social Engineering (github.com)
或者直接用git:git clone https://github.com/thewhiteh4t/seeker.git
环境要求
大部分Linux环境均支持,但是不知道为什么Readme里面没有列入CentOS。
但是我就偏要用Windows来玩(,用的是Ubuntu20.04LTS的WSL+ngrok,ngrok的用处是将seeker伪装出来的“钓鱼网站”内网穿透映射到公网上。
环境方面还需要python3和php,python3需要安装requests库。(看Readme装即可)
配置及使用
配置环境
首先,打开你的wsl,随便找一个你想要下载seeker的地方,运行一下指令:
git clone https://github.com/thewhiteh4t/seeker.git
cd seeker/
apt update
apt install python3 python3-pip php
pip3 install requests
然后就大功告成啦(bushi)。
如果git寄了就在上面给出的Github下载地址手动下载然后拖到wsl里面吧。
当然git下来的仓库中有install.sh
,你也可以通过运行这个脚本来安装需要的环境。
弄完了seeker,接下来是下载一个内网穿透工具,这里使用的是ngrok,完全免费,只需要在官网注册一个账号,把自己的token配置到机子上就行了,这里给出网址:ngrok - secure introspectable tunnels to localhost
使用方式
默认方式
python3 seeker.py -t manual #这里是wsl在seeker的目录下运行
./ngrok.exe http 8080 #这里是powershell在ngrok.exe的目录下运行
由于seeker默认会在8080端口下运行,所以ngrok把8080端口映射到公网上。
在运行seeker的时候,会给出四个不同的伪造网站,一般来说都选第一个,因为第一个什么都不需要做,他直接给你写好了这个网站,当然如果你有兴趣可以尝试其他三个选项。(如果想伪造的真实一点或者想搞个比较有特色的前端,可以更改template目录下对应的html文件。)
在seeker将网站生成完毕之后,你就可以把ngrok中形如http://33d8-112-32-54-151.ngrok.io
(或者是https)的网址发给你的好朋友恶搞他了(bushi),当然,并不是访问了就有位置信息,必须要点击按钮并且同意获取位置信息后,你才能获取他的位置信息。
指定端口
当然,如果你本地的8080端口被占用了,可以使用以下方式指定端口:
python3 seeker.py -t manual -p 1337
./ngrok.exe http 1337
用法同上。
这玩意还支持Docker,但是我没玩明白,这里就不多嘴了。。
实际操作(出锅现场)
我实操的时候出锅了,但是问题不大。
起了服务之后,用手机端访问:
然后服务端返回手机信息(定位直接寄了,不知道为什么)
看了一眼代码,发现他是获取了ip地址之后,从http://free.ipwhois.io/json/ip
获取到此IP所在的定位,返回的json信息用python转化以下就能打印出经纬度和可以看到Google地球上经纬度所在地的url。如果手持手机还能看到此时的海拔和移动速度。
如果只是想要获取定位信息,遇到上述的报错的话可以直接访问上面的网址,ip替换成查到的ip即可(但是最多只能找到在哪个市)。
以上就是对seeker工具的简要介绍,如果想要看正常的使用最终效果,可以在b站上搜索社工seeker,有相应的视频。
那个定位软件是不是要有python环境?
肯定噻