GWS - Google Platforms Phishing

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Generiese Phishing Metodologie

Phishing MethodologyHackTricks

Google Groups Phishing

Blijkbaar, standaard, in workspace lede kan groepe skep en mense na hulle uitnooi. Jy kan dan die e-pos wat aan die gebruiker gestuur sal word wysig deur 'n paar skakels by te voeg. Die e-pos sal van 'n google adres kom, so dit sal legitiem lyk en mense mag op die skakel klik.

Dit is ook moontlik om die FROM adres as die Google groep e-pos in te stel om meer e-posse aan die gebruikers binne die groep te stuur, soos in die volgende beeld waar die groep google--support@googlegroups.com geskep is en 'n e-pos aan al die lede van die groep gestuur is (wat sonder enige toestemming bygevoeg is)

Google Chat Phishing

Jy mag in staat wees om of 'n gesprek te begin met 'n persoon net deur hul e-pos adres te hê of 'n uitnodiging te stuur om te praat. Boonop, dit is moontlik om 'n Ruimte te skep wat enige naam kan hê (bv. "Google Support") en lede na dit uit te nooi. As hulle aanvaar, mag hulle dink dat hulle met Google Support praat:

In my toetsing het die uitgenooide lede egter glad nie 'n uitnodiging ontvang nie.

Jy kan kyk hoe dit in die verlede gewerk het in: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s

Google Doc Phishing

In die verlede was dit moontlik om 'n blijkbaar legitieme dokument te skep en in 'n kommentaar 'n paar e-pos te noem (soos @user@gmail.com). Google het 'n e-pos na daardie e-pos adres gestuur om te kennis te gee dat hulle in die dokument genoem is. Tans werk dit nie, maar as jy die slagoffer se e-pos toegang tot die dokument gee sal Google 'n e-pos stuur wat dit aandui. Dit is die boodskap wat verskyn wanneer jy iemand noem:

Slagoffers mag 'n beskermingsmeganisme hê wat nie toelaat dat e-posse wat aandui dat 'n eksterne dokument met hulle gedeel is, hul e-pos bereik nie.

Google Calendar Phishing

Jy kan 'n kalender gebeurtenis skep en soveel e-pos adresse van die maatskappy wat jy aanval as wat jy het, byvoeg. Skeduleer hierdie kalender gebeurtenis in 5 of 15 min vanaf die huidige tyd. Maak die gebeurtenis legitiem en sit 'n kommentaar en 'n titel wat aandui dat hulle iets moet lees (met die phishing skakel).

Dit is die waarskuwing wat in die blaaier sal verskyn met 'n vergadering titel "Firing People", so jy kan 'n meer phishing-agtige titel stel (en selfs die naam wat met jou e-pos geassosieer is, verander).

Om dit minder verdag te laat lyk:

Stel dit op sodat ontvangers nie die ander mense wat uitgenooi is kan sien nie
Moet nie e-posse stuur wat oor die gebeurtenis kennis gee nie. Dan sal die mense net hul waarskuwing oor 'n vergadering in 5min sien en dat hulle daardie skakel moet lees.
Blijkbaar kan jy met die API stel dat waar dat mense die gebeurtenis aanvaar het en selfs kommentaar namens hulle skep.

App Scripts Redirect Phishing

Dit is moontlik om 'n skrip in https://script.google.com/ te skep en dit as 'n webtoepassing bloot te stel wat deur almal toeganklik is wat die legitieme domein script.google.com sal gebruik. Met 'n paar kode soos die volgende kan 'n aanvaller die skrip dwing om arbitrêre inhoud op hierdie bladsy te laai sonder om die domein te stop te benader:

function doGet() {
return HtmlService.createHtmlOutput('<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">')
.setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL);
}

Byvoorbeeld, as jy toegang verkry tot https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec sal jy sien:

Let daarop dat 'n waarskuwing sal verskyn terwyl die inhoud binne 'n iframe gelaai word.

App Scripts OAuth Phishing

Dit is moontlik om App Scripts te skep wat aan dokumente gekoppel is om te probeer toegang te verkry oor 'n slagoffer se OAuth-token, vir meer inligting, kyk:

GWS - App Scripts

OAuth Apps Phishing

Enige van die vorige tegnieke kan gebruik word om die gebruiker toegang te laat verkry tot 'n Google OAuth-toepassing wat die gebruiker toegang sal versoek. As die gebruiker die bron vertrou, kan hy die toepassing vertrou (selfs al vra dit vir hoë bevoorregte toestemmings).

Let daarop dat Google 'n lelike prompt aanbied wat waarsku dat die toepassing in verskeie gevalle nie vertrou word nie en Workspace-administrateurs kan selfs voorkom dat mense OAuth-toepassings aanvaar.

Google laat toe om toepassings te skep wat kan interaksie hê namens gebruikers met verskeie Google-dienste: Gmail, Drive, GCP...

Wanneer 'n toepassing geskep word om namens ander gebruikers op te tree, moet die ontwikkelaar 'n OAuth-toepassing binne GCP skep en die skope (toestemmings) aan dui wat die toepassing nodig het om toegang tot die gebruikersdata te verkry. Wanneer 'n gebruiker daardie toepassing wil gebruik, sal hulle gevra word om te aanvaar dat die toepassing toegang tot hul data sal hê soos gespesifiseer in die skope.

Dit is 'n baie aantreklike manier om phish nie-tegniese gebruikers om toepassings te gebruik wat sensitiewe inligting toegang gee omdat hulle dalk nie die gevolge verstaan nie. Dit is egter in organisasies se rekeninge, daar is maniere om te voorkom dat dit gebeur.

Onverifieerde App-prompt

Soos genoem, sal Google altyd 'n prompt aan die gebruiker aanbied om die toestemmings wat hulle aan die toepassing namens hulle gee, te aanvaar. As die toepassing egter as gevaarlik beskou word, sal Google eerste 'n prompt wys wat aandui dat dit gevaarlik is en dit moeiliker maak vir die gebruiker om die toestemmings aan die toepassing te gee.

Hierdie prompt verskyn in toepassings wat:

Enige skoop gebruik wat toegang tot privaat data kan verkry (Gmail, Drive, GCP, BigQuery...)
Toepassings met minder as 100 gebruikers (toepassings > 100 'n hersieningsproses is ook nodig om die onverifieerde prompt te stop)

Interessante Skope

Hier kan jy 'n lys van al die Google OAuth-skope vind.

cloud-platform: Beskou en bestuur jou data oor Google Cloud Platform-dienste. Jy kan die gebruiker in GCP naboots.
admin.directory.user.readonly: Sien en aflaai jou organisasie se GSuite-gids. Kry name, telefone, kalender-URL's van al die gebruikers.

Skep 'n OAuth-toepassing

Begin om 'n OAuth-klant-ID te skep

Gaan na https://console.cloud.google.com/apis/credentials/oauthclient en klik op konfigureer die toestemming skerm.
Dan sal jy gevra word of die gebruikertipe intern (slegs vir mense in jou org) of extern is. Kies die een wat by jou behoeftes pas

Intern mag interessant wees as jy reeds 'n gebruiker van die organisasie gecompromitteer het en jy hierdie App skep om 'n ander een te phish.

Gee 'n naam aan die toepassing, 'n ondersteunings-e-pos (let daarop dat jy 'n googlegroup-e-pos kan stel om jouself 'n bietjie meer te anonimiseer), 'n logo, geautoriseerde domeine en 'n ander e-pos vir opdaterings.
Kies die OAuth-skope.

Hierdie bladsy is verdeel in nie-sensitiewe toestemmings, sensitiewe toestemmings en beperkte toestemmings. Elke keer as jy 'n nuwe toestemming byvoeg, word dit in sy kategorie bygevoeg. Afhangende van die versoekte toestemmings, sal verskillende prompts aan die gebruiker verskyn wat aandui hoe sensitief hierdie toestemmings is.
Beide admin.directory.user.readonly en cloud-platform is sensitiewe toestemmings.

Voeg die toetsgebruikers by. Solank as die status van die toepassing toets is, sal slegs hierdie gebruikers toegang tot die toepassing hê, so maak seker om die e-pos wat jy gaan phish by te voeg.

Nou laat ons akkrediteer vir 'n webtoepassing wat die voorheen geskepte OAuth-klant-ID sal gebruik:

Gaan terug na https://console.cloud.google.com/apis/credentials/oauthclient, 'n ander opsie sal hierdie keer verskyn.
Kies om akkrediteer vir 'n webtoepassing te skep
Stel nodige Javascript oorspronge en herlei URI's in

Jy kan in albei iets soos http://localhost:8000/callback vir toetsing stel

Kry jou toepassing se akkrediteer

Laastens, laat ons 'n webtoepassing uitvoer wat die OAuth-toepassing se akkrediteer sal gebruik. Jy kan 'n voorbeeld vind in https://github.com/carlospolop/gcp_oauth_phishing_example.

git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"

Gaan na http://localhost:8000 en klik op die Login with Google-knoppie, jy sal gevra word met 'n boodskap soos hierdie:

Die toepassing sal die toegang en verfris token wys wat maklik gebruik kan word. Vir meer inligting oor hoe om hierdie tokens te gebruik, kyk:

GCP - Token Persistance

Gebruik `glcoud`

Dit is moontlik om iets te doen met gcloud in plaas van die webkonsol, kyk:

GCP - ClientAuthConfig Privesc

Verwysings

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch en Beau Bullock - OK Google, Hoe doen ek 'n Red Team GSuite?