Un script de phishing en Python para phishing de inicio de sesión, phishing de imagen, phishing de vídeo y muchos más. Incluye sitios web populares como Facebook, Twitter, Instagram, GitHub, Reddit, Gmail y muchos otros.
Instalación
Instala las dependencias (git, python, php ssh)
- Para Debian (Ubuntu, Kali-Linux, Parrot):
sudo apt install git python3 python3-pip php openssh-client -y
- Para Arch (Manjaro):
sudo pacman -S git python3 python-pip php openssh --noconfirm
- Para Redhat (Fedora):
sudo dnf install git python3 php openssh -y
- Para Termux:
pkg install git python3 python-pip php openssh -y
Clona este repositorio:
git clone https://github.com/KasRoudra/MaxPhisher
Ingresa al directorio:
cd MaxPhisher
Instala todos los módulos:
pip3 install -r files/requirements.txt --break-system-packages
Ejecuta la herramienta:
python3 maxphisher.py
O ejecútala directamente:
wget https://raw.githubusercontent.com/KasRoudra/MaxPhisher/main/maxphisher.py && python3 maxphisher.py
Pip:
pip3 install maxphisher [Para Termux]
sudo pip3 install maxphisher --break-system-packages [Para Linux]
maxphisher
Docker:
sudo docker pull kasroudra/maxphisher
sudo docker run --rm -it kasroudra/maxphisher
sudo docker cp $(sudo docker ps | grep maxphisher | awk '{print $1}'):/root/Media media [Ejecute esto en otro terminal para copiar los archivos recibidos de docker a la carpeta de medios mientras mantiene el contenedor en ejecución]
Soporte
OS | Nivel de soporte |
---|---|
Linux | Excelente |
Android | Excelent |
iPhone | Alpha (Docker recomendado) |
MacOS | Alpha (Docker recomendado) |
Windows | No compatible (Utilizar docker/virtual-box/vmware) |
BSD | Nunca probado |
Opciones
usage: maxphisher.py [-h] [-p PORT] [-t TYPE] [-o OPTION]
[-T TUNNELER] [-r REGION] [-S SUBDOMAIN]
[-d DIRECTORY] [-f FEST] [-i YTID] [-u URL]
[-s DURATION] [-m MODE] [-e TROUBLESHOOT]
[--nokey] [--noupdate]
options:
-h, --help show this help message and exit
-p PORT, --port PORT MaxPhisher's server port [Default : 8080]
-t TYPE, --type TYPE MaxPhisher's phishing type index [Default :
null]
-o OPTION, --option OPTION
MaxPhisher's template index [ Default : null ]
-T TUNNELER, --tunneler TUNNELER
Tunneler to be chosen while url shortening
[Default : Cloudflared]
-r REGION, --region REGION
Region for loclx [Default: auto]
-S SUBDOMAIN, --subdomain SUBDOMAIN
Subdomain for loclx [Pro Account]
(Default: null)
-d DIRECTORY, --directory DIRECTORY
Directory where media files will be saved
[Default : /sdcard/Media]
-f FEST, --fest FEST Festival name for fest template [Default:
Birthday]
-i YTID, --ytid YTID Youtube video ID for yttv template [Default :
6hHmkInZkMQ (NASA Video)]
-u URL, --url URL Redirection url for ip-tracking or login
phishing [Default : null]
-s DURATION, --duration DURATION
Media duration while capturing [Default :
5000(ms)]
-m MODE, --mode MODE Mode of MaxPhisher [Default: normal]
-e TROUBLESHOOT, --troubleshoot TROUBLESHOOT
Troubleshoot a tunneler [Default: null]
--nokey Use localtunnel without ssh key [Default:
False]
--noupdate Skip update checking [Default : False]
Características
- Multiplataforma (compatible con la mayoría de las distribuciones Linux)
- Fácil de usar
- Posibilidad de diagnóstico de errores
- 77 plantillas de sitios web
- 4 túneles concurrentes (Cloudflared, Loclx y LocalHostRun, Serveo)
- Hasta 8 enlaces para phishing
- Soporte para OTP
- Soporte para argumentos
- Envío de credenciales por correo electrónico
- Enmascaramiento incorporado de URL
- Enmascaramiento personalizado de URL
- Sombreado de URL
- Configuración de URL de redirección
- Archivo portátil (se puede ejecutar desde cualquier directorio)
- Obtención de dirección IP y muchos otros detalles junto con las credenciales de inicio de sesión
Herramientas Relevantes:
- CamHacker para phishing de imágenes
- VidPhisher para phishing de videos
https://github.com/KasRoudra/CamHacker
https://github.com/KasRoudra/VidPhisher
Requisitos
- Python(3)
- PHP
- SSH
- Almacenamiento de 900 MB
Si no se encuentran, los módulos de PHP y Python se instalarán en la primera ejecución.
Probado en
- Termux
- Ubuntu
- Kali-Linux
- Arch
- Fedora
- Manjaro
Uso
- Ejecuta el script.
- Elige un sitio web.
- Espera un momento mientras se configura todo.
- Envía el enlace generado a la víctima.
- Espera a que la víctima inicie sesión.
- Tan pronto como lo haga, se capturarán las credenciales.
Solución de Problemas Comunes
- Algunos navegadores seguros como Firefox pueden mostrar advertencias para enlaces con ‘@’ como prefijo. Deberías usar enlaces puros o enlaces personalizados para evitar esto.
- Termux desde la tienda de aplicaciones no es compatible. Descarga Termux desde F-Droid o GitHub.
- Una VPN o un proxy pueden evitar el enrutamiento adecuado e incluso el acceso a Internet. Desactívalos si tienes problemas.
- Algunos dispositivos Android requieren el uso del punto de acceso para iniciar Cloudflared y Loclx. Si te encuentras con el mensaje ‘tunneling failed‘ en Android, es probable que tu punto de acceso esté apagado. Actívalo y mantenlo encendido hasta que cierres MaxPhisher.
- Si deseas recibir las credenciales por correo electrónico, necesitas utilizar una contraseña de aplicación. Visita aquí y genera una contraseña de aplicación, luego colócala en el archivo
files
/email.json
. Es posible que también necesites habilitar la autenticación de dos factores antes de hacerlo.
Descargo de Responsabilidad
Esta herramienta se desarrolla con fines educativos. Aquí se demuestra cómo funciona el phishing. Si alguien desea obtener acceso no autorizado a las redes sociales de otra persona, puede probar esto bajo su propio riesgo. Tienes tus propias responsabilidades y eres responsable de cualquier daño o violación de las leyes causados por esta herramienta. El autor no se hace responsable de ningún uso indebido de MaxPhisher.
https://github.com/HackWeiser360/MaxPhisher
https://github.com/KasRoudra/MaxPhisher