GWS - Google Platforms Phishing

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Generic Phishing Methodology

Phishing MethodologyHackTricks

Google Groups Phishing

स्पष्ट रूप से, डिफ़ॉल्ट रूप से, वर्कस्पेस सदस्यों समूह बना सकते हैं और लोगों को आमंत्रित कर सकते हैं। आप फिर उस ईमेल को संशोधित कर सकते हैं जो उपयोगकर्ता को भेजा जाएगा कुछ लिंक जोड़कर। ईमेल एक गूगल पते से आएगा, इसलिए यह वैध लगेगा और लोग लिंक पर क्लिक कर सकते हैं।

यह भी संभव है कि FROM पते को Google समूह ईमेल के रूप में सेट किया जाए ताकि समूह के अंदर उपयोगकर्ताओं को अधिक ईमेल भेजे जा सकें, जैसे कि निम्नलिखित छवि में जहां समूह google--support@googlegroups.com बनाया गया था और समूह के सभी सदस्यों को ईमेल भेजा गया (जो बिना किसी सहमति के जोड़े गए थे)

Google Chat Phishing

आप किसी व्यक्ति के साथ चैट शुरू करने में सक्षम हो सकते हैं बस उनके ईमेल पते को लेकर या बात करने के लिए आमंत्रण भेज सकते हैं। इसके अलावा, यह संभव है कि एक स्पेस बनाएँ जिसका कोई भी नाम हो सकता है (जैसे "Google Support") और इसमें सदस्यों को आमंत्रित करें। यदि वे स्वीकार करते हैं तो वे सोच सकते हैं कि वे Google Support से बात कर रहे हैं:

हालांकि, मेरे परीक्षण में आमंत्रित सदस्यों को तो आमंत्रण भी नहीं मिला।

आप देख सकते हैं कि यह पहले कैसे काम करता था: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s

Google Doc Phishing

अतीत में, एक स्पष्ट रूप से वैध दस्तावेज़ बनाना संभव था और एक टिप्पणी में कुछ ईमेल का उल्लेख करना (जैसे @user@gmail.com)। Google उस ईमेल पते पर एक ईमेल भेजता था यह सूचित करते हुए कि उन्हें दस्तावेज़ में उल्लेखित किया गया था। आजकल, यह काम नहीं करता है लेकिन यदि आप शिकार को दस्तावेज़ तक पहुंच देते हैं तो Google एक ईमेल भेजेगा जो यह संकेत देगा। यह वह संदेश है जो तब दिखाई देता है जब आप किसी का उल्लेख करते हैं:

शिकारियों के पास सुरक्षा तंत्र हो सकता है जो यह अनुमति नहीं देता कि यह ईमेल उनके ईमेल तक पहुंचे जो यह संकेत देते हैं कि उनके साथ एक बाहरी दस्तावेज़ साझा किया गया था।

Google Calendar Phishing

आप एक कैलेंडर इवेंट बना सकते हैं और जितने भी ईमेल पते हैं उन सभी को जोड़ सकते हैं जिनका आप हमला कर रहे हैं। इस कैलेंडर इवेंट को वर्तमान समय से 5 या 15 मिनट में शेड्यूल करें। इवेंट को वैध दिखाने के लिए बनाएं और एक टिप्पणी और एक शीर्षक डालें जो यह संकेत दे कि उन्हें कुछ पढ़ना है (जिसमें फिशिंग लिंक हो)।

यह वह चेतावनी है जो ब्राउज़र में "Firing People" शीर्षक के साथ बैठक के लिए दिखाई देगी, इसलिए आप एक अधिक फिशिंग जैसा शीर्षक सेट कर सकते हैं (और यहां तक कि अपने ईमेल से जुड़े नाम को भी बदल सकते हैं)।

इसे कम संदिग्ध दिखाने के लिए:

इसे इस तरह सेट करें कि प्राप्तकर्ता अन्य आमंत्रित लोगों को न देख सकें
इवेंट के बारे में सूचित करने वाले ईमेल न भेजें। फिर, लोग केवल 5 मिनट में एक बैठक के बारे में अपनी चेतावनी देखेंगे और उन्हें उस लिंक को पढ़ने की आवश्यकता है।
स्पष्ट रूप से API का उपयोग करके आप सेट कर सकते हैं कि लोगों ने इवेंट को स्वीकृत किया है और यहां तक कि उनके पक्ष से टिप्पणियाँ भी बना सकते हैं।

App Scripts Redirect Phishing

यह संभव है कि https://script.google.com/ में एक स्क्रिप्ट बनाई जाए और इसे एक वेब एप्लिकेशन के रूप में उजागर किया जाए जो सभी के लिए सुलभ हो जो वैध डोमेन script.google.com का उपयोग करेगा। कुछ कोड के साथ जैसे निम्नलिखित, एक हमलावर इस पृष्ठ में मनमाना सामग्री लोड कर सकता है बिना डोमेन तक पहुंच को रोके:

function doGet() {
return HtmlService.createHtmlOutput('<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">')
.setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL);
}

उदाहरण के लिए https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec पर पहुँचने पर आप देखेंगे:

ध्यान दें कि एक चेतावनी दिखाई देगी जब सामग्री एक iframe के अंदर लोड होती है।

ऐप स्क्रिप्ट्स OAuth फ़िशिंग

ऐप स्क्रिप्ट्स बनाना संभव है जो दस्तावेज़ों से जुड़े होते हैं ताकि पीड़ित के OAuth टोकन तक पहुँच प्राप्त करने की कोशिश की जा सके, अधिक जानकारी के लिए देखें:

GWS - App Scripts

OAuth ऐप्स फ़िशिंग

पिछले में से कोई भी तकनीक उपयोगकर्ता को एक Google OAuth एप्लिकेशन तक पहुँचने के लिए उपयोग की जा सकती है जो उपयोगकर्ता से कुछ एक्सेस अनुरोध करेगी। यदि उपयोगकर्ता स्रोत पर विश्वास करता है तो वह एप्लिकेशन पर भी विश्वास कर सकता है (भले ही यह उच्च विशेषाधिकार प्राप्त अनुमतियों के लिए पूछ रहा हो)।

ध्यान दें कि Google कई मामलों में एक भद्दा प्रॉम्प्ट प्रस्तुत करता है जो चेतावनी देता है कि एप्लिकेशन अविश्वसनीय है और Workspace प्रशासक लोगों को OAuth एप्लिकेशन स्वीकार करने से भी रोक सकते हैं।

Google उपयोगकर्ताओं की ओर से कई Google सेवाओं के साथ संवाद करने के लिए एप्लिकेशन बनाने की अनुमति देता है: Gmail, Drive, GCP...

जब किसी एप्लिकेशन को अन्य उपयोगकर्ताओं की ओर से कार्य करने के लिए बनाया जाता है, तो डेवलपर को एक GCP के अंदर OAuth ऐप बनाना होगा और उन स्कोप्स (अनुमतियों) को निर्दिष्ट करना होगा जिनकी ऐप को उपयोगकर्ताओं के डेटा तक पहुँचने की आवश्यकता है। जब एक उपयोगकर्ता उस एप्लिकेशन का उपयोग करना चाहता है, तो उन्हें स्वीकृति देने के लिए प्रॉम्प्ट किया जाएगा कि एप्लिकेशन उनके डेटा तक पहुँच प्राप्त करेगा जो स्कोप्स में निर्दिष्ट है।

यह फिशिंग करने का एक बहुत ही आकर्षक तरीका है गैर-तकनीकी उपयोगकर्ताओं को संवेदनशील जानकारी तक पहुँचने वाले एप्लिकेशनों का उपयोग करने के लिए, क्योंकि वे परिणामों को नहीं समझ सकते। हालाँकि, संगठनों के खातों में, इसे होने से रोकने के तरीके हैं।

अविश्वसनीय ऐप प्रॉम्प्ट

जैसा कि उल्लेख किया गया था, Google हमेशा उपयोगकर्ता को अनुमतियों को स्वीकार करने के लिए प्रॉम्प्ट करेगा जो वे एप्लिकेशन को अपनी ओर से दे रहे हैं। हालाँकि, यदि एप्लिकेशन को खतरनाक माना जाता है, तो Google पहले प्रॉम्प्ट दिखाएगा जो यह संकेत देगा कि यह खतरनाक है और उपयोगकर्ता के लिए ऐप को अनुमतियाँ देने में अधिक कठिनाई पैदा करेगा।

यह प्रॉम्प्ट उन ऐप्स में दिखाई देता है:

कोई भी स्कोप जो निजी डेटा (Gmail, Drive, GCP, BigQuery...) तक पहुँच सकता है
100 से कम उपयोगकर्ताओं वाले ऐप्स (100 से अधिक उपयोगकर्ताओं वाले ऐप्स के लिए अविश्वसनीय प्रॉम्प्ट दिखाना रोकने के लिए एक समीक्षा प्रक्रिया भी आवश्यक है)

दिलचस्प स्कोप्स

यहाँ आप सभी Google OAuth स्कोप्स की सूची पा सकते हैं।

cloud-platform: अपने डेटा को Google Cloud Platform सेवाओं के बीच देखें और प्रबंधित करें। आप GCP में उपयोगकर्ता का प्रतिनिधित्व कर सकते हैं।
admin.directory.user.readonly: अपने संगठन के GSuite निर्देशिका को देखें और डाउनलोड करें। सभी उपयोगकर्ताओं के नाम, फोन, कैलेंडर यूआरएल प्राप्त करें।

एक OAuth ऐप बनाएं

एक OAuth क्लाइंट आईडी बनाना शुरू करें

https://console.cloud.google.com/apis/credentials/oauthclient पर जाएं और सहमति स्क्रीन को कॉन्फ़िगर करने पर क्लिक करें।
फिर, आपसे पूछा जाएगा कि उपयोगकर्ता प्रकार आंतरिक (केवल आपके संगठन के लोगों के लिए) है या बाहरी। उस विकल्प का चयन करें जो आपकी आवश्यकताओं के अनुसार हो

आंतरिक तब दिलचस्प हो सकता है जब आपने पहले ही संगठन के एक उपयोगकर्ता को समझौता कर लिया है और आप दूसरे को फ़िश करने के लिए यह ऐप बना रहे हैं।

ऐप को एक नाम दें, एक समर्थन ईमेल (ध्यान दें कि आप खुद को थोड़ा और गुमनाम बनाने के लिए एक गूगल ग्रुप ईमेल सेट कर सकते हैं), एक लोगो, अधिकृत डोमेन और अपडेट्स के लिए एक और ईमेल दें।
OAuth स्कोप्स का चयन करें।

यह पृष्ठ गैर-संवेदनशील अनुमतियों, संवेदनशील अनुमतियों और प्रतिबंधित अनुमतियों में विभाजित है। हर बार जब आप एक नई अनुमति जोड़ते हैं, तो यह उसकी श्रेणी में जोड़ी जाती है। अनुरोधित अनुमतियों के आधार पर उपयोगकर्ता को यह संकेत देने के लिए विभिन्न प्रॉम्प्ट दिखाई देंगे कि ये अनुमतियाँ कितनी संवेदनशील हैं।
दोनों admin.directory.user.readonly और cloud-platform संवेदनशील अनुमतियाँ हैं।

परीक्षण उपयोगकर्ताओं को जोड़ें। जब तक ऐप की स्थिति परीक्षण में है, केवल ये उपयोगकर्ता ऐप तक पहुँच पाने में सक्षम होंगे, इसलिए सुनिश्चित करें कि उस ईमेल को जोड़ें जिसे आप फ़िश करने जा रहे हैं।

अब हम पिछले बनाए गए OAuth क्लाइंट आईडी का उपयोग करके एक वेब एप्लिकेशन के लिए क्रेडेंशियल्स प्राप्त करें:

https://console.cloud.google.com/apis/credentials/oauthclient पर वापस जाएं, इस बार एक अलग विकल्प दिखाई देगा।
एक वेब एप्लिकेशन के लिए क्रेडेंशियल्स बनाने का चयन करें
आवश्यक जावास्क्रिप्ट मूल और रीडायरेक्ट यूआरआई सेट करें

आप परीक्षण के लिए दोनों में कुछ ऐसा सेट कर सकते हैं जैसे http://localhost:8000/callback

अपने एप्लिकेशन के क्रेडेंशियल्स प्राप्त करें

अंत में, चलिए एक वेब एप्लिकेशन चलाते हैं जो OAuth एप्लिकेशन क्रेडेंशियल्स का उपयोग करेगा। आप एक उदाहरण https://github.com/carlospolop/gcp_oauth_phishing_example में पा सकते हैं।

git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"

जाएँ http://localhost:8000 पर Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का एक संदेश प्रदर्शित किया जाएगा:

ऐप्लिकेशन एक्सेस और रिफ्रेश टोकन दिखाएगा जिसे आसानी से उपयोग किया जा सकता है। इन टोकनों का उपयोग कैसे करें, इसके बारे में अधिक जानकारी के लिए देखें:

GCP - Token Persistance

`glcoud` का उपयोग करना

वेब कंसोल के बजाय gcloud का उपयोग करके कुछ करना संभव है, देखें:

GCP - ClientAuthConfig Privesc

संदर्भ

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - मैथ्यू ब्रायंट - हैकिंग जी सूट: डार्क ऐप्स स्क्रिप्ट मैजिक की शक्ति
https://www.youtube.com/watch?v=KTVHLolz6cE - माइक फेल्च और ब्यू बुलॉक - ओके गूगल, मैं जीसूट को रेड टीम कैसे करूँ?

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
💬 Discord समूह या टेलीग्राम समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।