Salut à tous, je suis sur kali linux et j'ai configurer un nom de domaine qui me redirige vers mon routeur.

Il s'agit ici de montrer dans le cadre de mon TPE ( projet en premiere ) que malgré l'utilisation de l'authentification à deux facteurs nous ne sommes pas à l'abris.

Pour celà j'utilise un outil : Evilginx2

https://github.com/kgretzky/evilginx2

Sauf que en l'utilisant j'arrive à une impasse, en effet au moment d'obtenir les certificats SSL Evilginx2 affiche l'erreur

https://imgur.com/a/7pv8KFY

En essayant un autre outil : Modlishka 

https://github.com/drk1wi/Modlishka/

je genere une url sauf que j'obtient une erreur 403 mais cette fois-ci sur le navigateur internet, et je me retrouve avec comme fond de la page, la page de mon routeur.

Je me demande donc si mon routeur ne demande pas un nom d'utilisateur et un mot de passe ( celui pour accéder à ses paramètres ) aux personnes se connectant au site.

Merci d'avance de votre aide

( Sinon je pense que c'est peut-etre parce que je n'ai toujours pas mis en place d'hebergeur, si c'est effectivement le probleme j'aimerai bien un tutoriel qui explique comment le faire sur kali linux )

-
Edité par Hexakosioihexekontahexaphobie 11 février 2019 à 18:30:56

As tu lu ceci?

https://openclassrooms.com/forum/sujet/kali-linux-a-lire-avant-dinstaller

Tu n'as pas fait toute les étapes.

Tu n'as pas tapé phishlet hostname twitter ton_domaine.

si je l'ai fait avant

JulienBats a écrit:

As tu lu ceci?

https://openclassrooms.com/forum/sujet/kali-linux-a-lire-avant-dinstaller

En fait cette "attaque" n'a rien à voir avec l'authentification à deux facteurs puisqu'elle compte sur le fait que:

Un utilisateur clique sur un lien d'un mail provenant d'une adresse inconnue, sans savoir ce qu'il fait,

Il poursuit sur une page HTTP dont l'URL est incorrecte, 

etc.

Bref, ce n'est pas une attaque mais s'appuie essentiellement sur la méconnaissance de l'utilisateur.

Si tu veux mettre en oeuvre une attaque, il y a en a plein d'autres qui sont très intéressantes et qui utilisent de vraies failles de sécurité. Dès lors qu'on compte sur des failles humaines, tout est possible, mais trop facile. 

Il me semble que la page est en HTTPS.

SInon de quels types d'attaques parle tu ( qui pourrait etre interessante pour mon TPE )

Ce lien n'était pas destiné à t'aider mais a te faire prendre conscience que ce genre de chose :

-est peut être hors de ton niveau.

-comporte des risques que tu ne maîtrises pas.

En plus, c'est illégal, même si ton nom de domaine est en .ga, et le fait de faire cela pour un "projet scolaire" ne peut pas être une justification.

Avant que tu me répondes que je ne sais rien de ton niveau, je vais attirer ton attention sur les points suivants.

-elalitte t'a fait gentiment remarquer que tu faisais fausse route.

-si ton niveau était suffisant, les documentations respectives de ces programmes auraient suffit à t'aider (elles sont assez claires)

-millman t'a aussi gentiment fait remarquer que tu n'avais pas bien lu la documentation.

En espérant que tu ne le prennes pas mal, je ne cherche pas à te rabaisser ou te faire la morale, je veux juste t'informer.

Normalement j'essaie d'éviter ce genre d'écueils, mais Kali n'étant pas une distribution pour débutants, je me permets un RTFM.

La manipulation que j'essaie d'effectuer avec.evilginx2 me paraît relativement simple, cette opération malgré le fait que je débute sur Linux devrait être realiszblr non

Concernant la documentation je l'ai bien lue je et n'ai pas oublié la commande citée par milman. 

( Ne t'inquiètes je ne le prends pas mal c'est tout a fait normal et juste de ta part de me dire ça, par contre il me semble qu'il n'est pas illegal de réaliser une operaopér de phishing puisque je ne cause.de dommage à personne )

Bonjour,

Ton TPE rentre dans le cadre de quelle(s) matière(s)?

Quel est le sujet? La problématique? Le but?

Je suis de l'avis de @elallite que tu fais fausse route avec du phishing.

En fait HTTPS permet de sécuriser et d'authentifier un site en fonction de son URL. Si tu passes sur une autre URL, tu n'as rien piraté du tout, tu as contourné le problème, mais rien fait vis à vis d'HTTPS.

Une attaque qui pourrait avoir du sens serait le ARP cache poisonning par exemple. C'est une vraie attaque réseau, qui est toujours valable et est très puissante sur un réseau local. Elle est détaillée dans mon cours.

Ok j'avais juste regardé les logs et je n'avais pas compris qu'il y avait un mode interactif.

Il me semble donc que c'est le "challenge" de let's encrypt qui échoue.

Déjà est que tu es bien propriétaire de mondomaine.ga et est que api.twitter.com.mondomaine.ga pointe bien vers ta machine ?

elalitte a écrit:

En fait HTTPS permet de sécuriser et d'authentifier un site en fonction de son URL. Si tu passes sur une autre URL, tu n'as rien piraté du tout, tu as contourné le problème, mais rien fait vis à vis d'HTTPS.

En effet c'est une attaque de phishing qui a pour but de récupérer les identifiants de connexions d'un site. La nouveauté c'est que là il récupère également le jeton d'identification 2FA.

Si j'ai bien compris le but de son TPE c'est de montrer que même avec un 2FA une attaque de phishing est possible et qu'il faut toujours faire attention à l'URL.

Sinon il est tout même possible d'utiliser ce genre d'attaques sur une machine infecté dans lequel on maîtrise les requêtes DNS et dons lequel on a installé un certificat d'autorité racine.