GWS - Google Platforms Phishing

Generic Phishing Methodology

Google Groups Phishing

स्पष्ट रूप से, डिफ़ॉल्ट रूप से, वर्कस्पेस सदस्यों समूह बना सकते हैं और लोगों को आमंत्रित कर सकते हैं। आप फिर उस ईमेल को संशोधित कर सकते हैं जो उपयोगकर्ता को भेजी जाएगी कुछ लिंक जोड़कर। ईमेल एक गूगल पते से आएगा, इसलिए यह वैध लगेगा और लोग लिंक पर क्लिक कर सकते हैं।

यह भी संभव है कि FROM पते को Google समूह ईमेल के रूप में सेट किया जाए ताकि समूह के अंदर उपयोगकर्ताओं को अधिक ईमेल भेजे जा सकें, जैसे कि निम्नलिखित छवि में जहां समूह google--support@googlegroups.com बनाया गया था और समूह के सभी सदस्यों को ईमेल भेजा गया (जो बिना किसी सहमति के जोड़े गए थे)

Google Chat Phishing

आप किसी व्यक्ति के साथ चैट शुरू करने में सक्षम हो सकते हैं बस उनके ईमेल पते को लेकर या बात करने के लिए आमंत्रण भेज सकते हैं। इसके अलावा, यह संभव है कि एक स्पेस बनाएँ जिसका कोई भी नाम हो सकता है (जैसे "Google Support") और सदस्यों को आमंत्रित करें। यदि वे स्वीकार करते हैं तो वे सोच सकते हैं कि वे Google Support से बात कर रहे हैं:

आप देख सकते हैं कि यह पहले कैसे काम करता था: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s

Google Doc Phishing

अतीत में, एक स्पष्ट रूप से वैध दस्तावेज़ बनाना संभव था और एक टिप्पणी में कुछ ईमेल का उल्लेख करना (जैसे @user@gmail.com)। Google उस ईमेल पते पर एक ईमेल भेजता था यह सूचित करते हुए कि उन्हें दस्तावेज़ में उल्लेखित किया गया था। आजकल, यह काम नहीं करता लेकिन यदि आप शिकार को दस्तावेज़ तक पहुंच देते हैं तो Google एक ईमेल भेजेगा जो यह संकेत देगा। यह वह संदेश है जो तब दिखाई देता है जब आप किसी का उल्लेख करते हैं:

Google Calendar Phishing

आप एक कैलेंडर इवेंट बना सकते हैं और जितने चाहें कंपनी के ईमेल पते जोड़ सकते हैं। इस कैलेंडर इवेंट को वर्तमान समय से 5 या 15 मिनट में शेड्यूल करें। इवेंट को वैध दिखाने के लिए बनाएं और एक टिप्पणी और एक शीर्षक डालें जो यह संकेत दे कि उन्हें कुछ पढ़ना है (जिसमें फिशिंग लिंक हो)।

यह वह चेतावनी है जो ब्राउज़र में "Firing People" शीर्षक के साथ दिखाई देगी, इसलिए आप एक अधिक फिशिंग जैसा शीर्षक सेट कर सकते हैं (और यहां तक कि अपने ईमेल से जुड़े नाम को भी बदल सकते हैं)।

इसे कम संदिग्ध दिखाने के लिए:

• इसे इस तरह सेट करें कि प्राप्तकर्ता अन्य आमंत्रित लोगों को न देख सकें

• इवेंट के बारे में सूचित करने वाले ईमेल न भेजें। फिर, लोग केवल 5 मिनट में एक बैठक के बारे में अपनी चेतावनी देखेंगे और उन्हें उस लिंक को पढ़ने की आवश्यकता है।

• स्पष्ट रूप से API का उपयोग करके आप सेट कर सकते हैं कि लोगों ने इवेंट को स्वीकृत किया है और यहां तक कि उनकी ओर से टिप्पणियाँ भी बना सकते हैं।

App Scripts Redirect Phishing

यह संभव है कि https://script.google.com/ में एक स्क्रिप्ट बनाई जाए और इसे एक वेब एप्लिकेशन के रूप में उजागर किया जाए जो सभी के लिए सुलभ हो जो वैध डोमेन script.google.com का उपयोग करेगा। कुछ कोड के साथ जैसे निम्नलिखित, एक हमलावर इस पृष्ठ पर मनमाना सामग्री लोड कर सकता है बिना डोमेन तक पहुंच को रोके:

function doGet() {
return HtmlService.createHtmlOutput('<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">')
.setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL);
}

उदाहरण के लिए https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec पर पहुँचने पर आप देखेंगे:

ऐप स्क्रिप्ट्स OAuth फ़िशिंग

यह संभव है कि दस्तावेज़ों से जुड़े ऐप स्क्रिप्ट्स बनाए जाएं ताकि पीड़ित के OAuth टोकन तक पहुँच प्राप्त करने की कोशिश की जा सके, अधिक जानकारी के लिए देखें:

OAuth ऐप्स फ़िशिंग

पिछले में से कोई भी तकनीक का उपयोग किया जा सकता है ताकि उपयोगकर्ता एक Google OAuth एप्लिकेशन तक पहुँच सके जो उपयोगकर्ता से कुछ एक्सेस अनुरोध करेगा। यदि उपयोगकर्ता स्रोत पर विश्वास करता है तो वह एप्लिकेशन पर भी विश्वास कर सकता है (भले ही यह उच्च विशेषाधिकार प्राप्त अनुमतियों के लिए पूछ रहा हो)।

Google उपयोगकर्ताओं की ओर से कई Google सेवाओं के साथ संवाद करने के लिए एप्लिकेशन बनाने की अनुमति देता है: Gmail, Drive, GCP...

जब किसी एप्लिकेशन को अन्य उपयोगकर्ताओं की ओर से कार्य करने के लिए बनाया जाता है, तो डेवलपर को GCP के अंदर एक OAuth ऐप बनाना होगा और उन स्कोप्स (अनुमतियों) को निर्दिष्ट करना होगा जिनकी ऐप को उपयोगकर्ताओं के डेटा तक पहुँचने की आवश्यकता है। जब एक उपयोगकर्ता उस एप्लिकेशन का उपयोग करना चाहता है, तो उन्हें स्वीकृति देने के लिए प्रॉम्प्ट किया जाएगा कि एप्लिकेशन उनके डेटा तक पहुँच प्राप्त करेगा जो स्कोप्स में निर्दिष्ट है।

यह फिशिंग नॉन-टेक्निकल उपयोगकर्ताओं को संवेदनशील जानकारी तक पहुँचने वाले एप्लिकेशन का उपयोग करने के लिए एक बहुत ही आकर्षक तरीका है क्योंकि वे परिणामों को नहीं समझ सकते। हालाँकि, संगठनों के खातों में, इसे होने से रोकने के तरीके हैं।

अविश्वसनीय ऐप प्रॉम्प्ट

जैसा कि उल्लेख किया गया था, Google हमेशा उपयोगकर्ता को अनुमतियों को स्वीकार करने के लिए प्रॉम्प्ट करेगा जो वे एप्लिकेशन को अपनी ओर से दे रहे हैं। हालाँकि, यदि एप्लिकेशन को खतरनाक माना जाता है, तो Google पहले प्रॉम्प्ट दिखाएगा जो यह संकेत देगा कि यह खतरनाक है और उपयोगकर्ता के लिए ऐप को अनुमतियाँ देने में अधिक कठिनाई पैदा करेगा।

यह प्रॉम्प्ट उन ऐप्स में दिखाई देता है:

• कोई भी स्कोप जो निजी डेटा (Gmail, Drive, GCP, BigQuery...) तक पहुँच सकता है

• 100 से कम उपयोगकर्ताओं वाले ऐप्स (100 से अधिक उपयोगकर्ताओं वाले ऐप्स के लिए एक समीक्षा प्रक्रिया भी आवश्यक है ताकि अविश्वसनीय प्रॉम्प्ट दिखाना बंद किया जा सके)

दिलचस्प स्कोप्स

यहाँ आप सभी Google OAuth स्कोप्स की सूची पा सकते हैं।

• cloud-platform: अपने डेटा को Google Cloud Platform सेवाओं के बीच देखें और प्रबंधित करें। आप GCP में उपयोगकर्ता का प्रतिनिधित्व कर सकते हैं।

• admin.directory.user.readonly: अपने संगठन के GSuite निर्देशिका को देखें और डाउनलोड करें। सभी उपयोगकर्ताओं के नाम, फोन, कैलेंडर यूआरएल प्राप्त करें।

एक OAuth ऐप बनाएं

OAuth क्लाइंट आईडी बनाना शुरू करें

1. https://console.cloud.google.com/apis/credentials/oauthclient पर जाएं और सहमति स्क्रीन को कॉन्फ़िगर करने पर क्लिक करें।

2. फिर, आपसे पूछा जाएगा कि उपयोगकर्ता प्रकार आंतरिक (केवल आपके संगठन के लोगों के लिए) है या बाहरी। उस विकल्प का चयन करें जो आपकी आवश्यकताओं के अनुसार हो।

• आंतरिक तब दिलचस्प हो सकता है जब आपने पहले ही संगठन के एक उपयोगकर्ता को समझौता कर लिया है और आप दूसरे को फ़िश करने के लिए यह ऐप बना रहे हैं।

3. ऐप को एक नाम दें, एक समर्थन ईमेल (ध्यान दें कि आप खुद को थोड़ा अधिक गुमनाम बनाने के लिए एक गूगल ग्रुप ईमेल सेट कर सकते हैं), एक लोगो, अधिकृत डोमेन और अपडेट्स के लिए एक और ईमेल दें।

4. OAuth स्कोप्स का चयन करें।

• यह पृष्ठ गैर-संवेदनशील अनुमतियों, संवेदनशील अनुमतियों और प्रतिबंधित अनुमतियों में विभाजित है। हर बार जब आप एक नई अनुमति जोड़ते हैं, तो यह उसकी श्रेणी में जोड़ी जाती है। अनुरोधित अनुमतियों के आधार पर उपयोगकर्ता को यह संकेत देने के लिए विभिन्न प्रॉम्प्ट दिखाई देंगे कि ये अनुमतियाँ कितनी संवेदनशील हैं।

• दोनों admin.directory.user.readonly और cloud-platform संवेदनशील अनुमतियाँ हैं।

5. परीक्षण उपयोगकर्ताओं को जोड़ें। जब तक ऐप की स्थिति परीक्षण में है, केवल ये उपयोगकर्ता ऐप तक पहुँच पाने में सक्षम होंगे, इसलिए सुनिश्चित करें कि उस ईमेल को जोड़ें जिसे आप फ़िश करने जा रहे हैं।

अब चलिए वेब एप्लिकेशन के लिए क्रेडेंशियल्स प्राप्त करते हैं जो पहले से बनाए गए OAuth क्लाइंट आईडी का उपयोग करेगा:

1. https://console.cloud.google.com/apis/credentials/oauthclient पर वापस जाएं, इस बार एक अलग विकल्प दिखाई देगा।

2. वेब एप्लिकेशन के लिए क्रेडेंशियल्स बनाने का चयन करें।

3. आवश्यक जावास्क्रिप्ट मूल और रीडायरेक्ट यूआरआई सेट करें।

• आप परीक्षण के लिए दोनों में कुछ ऐसा सेट कर सकते हैं जैसे http://localhost:8000/callback।

4. अपने एप्लिकेशन के क्रेडेंशियल्स प्राप्त करें।

अंत में, चलिए एक वेब एप्लिकेशन चलाते हैं जो OAuth एप्लिकेशन क्रेडेंशियल्स का उपयोग करेगा। आप एक उदाहरण https://github.com/carlospolop/gcp_oauth_phishing_example में पा सकते हैं।

git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"

जाएँ http://localhost:8000 पर, Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का एक संदेश प्रदर्शित किया जाएगा:

ऐप्लिकेशन एक्सेस और रिफ्रेश टोकन दिखाएगा जिसे आसानी से उपयोग किया जा सकता है। इन टोकनों का उपयोग कैसे करें, इसके बारे में अधिक जानकारी के लिए देखें:

glcoud का उपयोग करना

वेब कंसोल के बजाय gcloud का उपयोग करके कुछ करना संभव है, देखें:

संदर्भ

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - मैथ्यू ब्रायंट - G Suite हैकिंग: डार्क ऐप्स स्क्रिप्ट मैजिक की शक्ति

• https://www.youtube.com/watch?v=KTVHLolz6cE - माइक फेल्च और ब्यू बुलॉक - ओके गूगल, मैं GSuite को रेड टीम कैसे करूँ?