GWS - Google Platforms Phishing
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kwa kawaida, katika workspace wanachama wanaweza kuunda makundi na kuwakaribisha watu ndani yao. Unaweza kisha kubadilisha barua pepe ambayo itatumwa kwa mtumiaji ukiongeza viungo vingine. Barua pepe itakuja kutoka anwani ya google, hivyo itakuwa halali na watu wanaweza kubofya kwenye kiungo.
Pia inawezekana kuweka anwani ya FROM kama barua pepe ya kundi la Google ili kutuma barua pepe zaidi kwa watumiaji ndani ya kundi, kama katika picha ifuatayo ambapo kundi google--support@googlegroups.com lilianzishwa na barua pepe ilitumwa kwa wanachama wote wa kundi (ambao waliongezwa bila ridhaa yoyote)
Unaweza kuwa na uwezo wa kuanzisha mazungumzo na mtu kwa kuwa na anwani yao ya barua pepe au kutuma mwaliko wa kuzungumza. Zaidi ya hayo, inawezekana kuunda Nafasi ambayo inaweza kuwa na jina lolote (mfano "Google Support") na kuwalika wanachama ndani yake. Ikiwa watakubali wanaweza kufikiri kwamba wanazungumza na Google Support:
Katika majaribio yangu hata hivyo wanachama waliokaribishwa hawakupokea mwaliko.
Unaweza kuangalia jinsi hii ilivyofanya kazi zamani katika: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s
Katika siku za nyuma ilikuwa inawezekana kuunda nyaraka ambayo inaonekana kuwa halali na katika maoni kurejelea barua pepe fulani (kama @user@gmail.com). Google ilituma barua pepe kwa anwani hiyo ya barua pepe ikionyesha kwamba walirejelewa katika nyaraka. Sasa, hii haifanyi kazi lakini ikiwa utampa mwathirika ufikiaji wa barua pepe kwa nyaraka Google itatuma barua pepe ikionyesha hivyo. Huu ndio ujumbe unaotokea unapomrejelea mtu:
Waathirika wanaweza kuwa na mfumo wa ulinzi ambao hauwaruhusu barua pepe zinazotangaza kwamba nyaraka za nje zimeshirikishwa nao kufika kwenye barua zao.
Unaweza kuunda tukio la kalenda na kuongeza anwani nyingi za barua pepe za kampuni unayoishambulia kadri unavyoweza. Panga tukio hili la kalenda katika dakika 5 au 15 kutoka wakati wa sasa. Fanya tukio hilo kuonekana halali na weka maoni na kichwa kinachoonyesha kwamba wanahitaji kusoma kitu (pamoja na kiungo cha phishing).
Hii ndiyo arifa itakayojitokeza kwenye kivinjari na kichwa cha mkutano "Kuwafuta Watu", hivyo unaweza kuweka kichwa kinachofanana zaidi na phishing (na hata kubadilisha jina linalohusishwa na barua pepe yako).
Ili kuifanya ionekane kuwa na shaka kidogo:
Iweke ili wapokeaji wasione watu wengine waliokaribishwa
Usitumie barua pepe zinazotangazia kuhusu tukio. Kisha, watu wataona tu onyo lao kuhusu mkutano katika dakika 5 na kwamba wanahitaji kusoma kiungo hicho.
Kwa kawaida kutumia API unaweza kuweka Kweli kwamba watu wame kubali tukio hilo na hata kuunda maoni kwa niaba yao.
Inawezekana kuunda script katika https://script.google.com/ na kuionyesha kama programu ya wavuti inayopatikana kwa kila mtu ambayo itatumia domain halali script.google.com.
Kwa kutumia baadhi ya msimbo kama ifuatavyo mshambuliaji anaweza kufanya script hiyo ipakue maudhui yasiyo na kikomo katika ukurasa huu bila kuacha kufikia domain:
Kwa mfano, ukifika https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec utaona:
Kumbuka kwamba onyo litaonekana wakati maudhui yanapoload ndani ya iframe.
Inawezekana kuunda App Scripts zilizounganishwa na hati ili kujaribu kupata ufikiaji wa token ya OAuth ya mwathirika, kwa maelezo zaidi angalia:
GWS - App ScriptsMbinu zozote za hapo awali zinaweza kutumika kumfanya mtumiaji aingie kwenye Google OAuth application ambayo it omba mtumiaji ufikiaji. Ikiwa mtumiaji anaamini chanzo anaweza kuamini programu (hata kama inaomba ruhusa zenye mamlaka makubwa).
Kumbuka kwamba Google inaonyesha onyo mbaya linaloomba kwamba programu si ya kuaminika katika hali kadhaa na wasimamizi wa Workspace wanaweza hata kuzuia watu kukubali programu za OAuth.
Google inaruhusu kuunda programu ambazo zinaweza kuingiliana kwa niaba ya watumiaji na huduma kadhaa za Google: Gmail, Drive, GCP...
Wakati wa kuunda programu ili kufanya kwa niaba ya watumiaji wengine, mendelevu anahitaji kuunda OAuth app ndani ya GCP na kuonyesha maeneo (ruhusa) ambazo programu inahitaji ili kufikia data za watumiaji. Wakati mtumiaji anataka kutumia hiyo programu, wata ombwa kukubali kwamba programu itakuwa na ufikiaji wa data zao zilizobainishwa katika maeneo.
Hii ni njia nzuri sana ya phish watumiaji wasio na ujuzi wa kiufundi kutumia programu zinazofikia taarifa nyeti kwa sababu wanaweza kutokuelewa matokeo. Hata hivyo, katika akaunti za mashirika, kuna njia za kuzuia hili kutokea.
Kama ilivyotajwa, google kila wakati itaonyesha onyo kwa mtumiaji kukubali ruhusa wanazotoa kwa programu kwa niaba yao. Hata hivyo, ikiwa programu inachukuliwa kuwa hatari, google itaonyesha kwanza onyo linaloonyesha kwamba ni hatari na kuifanya iwe ngumu zaidi kwa mtumiaji kutoa ruhusa kwa programu.
Onyo hili linaonekana katika programu ambazo:
Zinatumia eneo lolote linaloweza kufikia data za kibinafsi (Gmail, Drive, GCP, BigQuery...)
Programu zenye watumiaji chini ya 100 (programu > 100 mchakato wa ukaguzi unahitajika pia kuzuia kuonyesha onyo la kutothibitishwa)
Hapa unaweza kupata orodha ya maeneo yote ya Google OAuth.
cloud-platform: Tazama na usimamie data zako katika huduma za Google Cloud Platform. Unaweza kujifanya kuwa mtumiaji katika GCP.
admin.directory.user.readonly: Tazama na pakua directory ya GSuite ya shirika lako. Pata majina, simu, URL za kalenda za watumiaji wote.
Anza kuunda OAuth Client ID
Nenda https://console.cloud.google.com/apis/credentials/oauthclient na bonyeza kuunda skrini ya idhini.
Kisha, utaulizwa ikiwa aina ya mtumiaji ni ndani (kwa watu tu katika shirika lako) au nje. Chagua ile inayofaa mahitaji yako
Ndani inaweza kuwa ya kuvutia ikiwa tayari umemaliza mtumiaji wa shirika na unaunda programu hii ili kuwapiga wengine.
Toa jina kwa programu, barua pepe ya msaada (kumbuka kwamba unaweza kuweka barua pepe ya googlegroup ili kujaribu kujificha kidogo zaidi), logo, domain zilizoidhinishwa na barua pepe nyingine kwa sasisho.
Chagua maeneo ya OAuth.
Ukurasa huu umegawanywa katika ruhusa zisizo nyeti, ruhusa nyeti na ruhusa zilizozuiliwa. Kila wakati unapoongeza ruhusa mpya inaongezwa katika kundi lake. Kulingana na ruhusa zilizohitajika, onyo tofauti litaonekana kwa mtumiaji likionyesha jinsi ruhusa hizi zilivyo nyeti.
Zote admin.directory.user.readonly na cloud-platform ni ruhusa nyeti.
Ongeza watumiaji wa majaribio. Kadri hali ya programu inavyokuwa ya majaribio, ni watumiaji hawa pekee watakaoweza kufikia programu hiyo hivyo hakikisha ongeza barua pepe unayopanga kuwapiga.
Sasa hebu tupate vyeti kwa programu ya wavuti kwa kutumia OAuth Client ID iliyoundwa awali:
Rudi https://console.cloud.google.com/apis/credentials/oauthclient, chaguo tofauti litaonekana wakati huu.
Chagua kuunda vyeti kwa programu ya Wavuti
Weka michakato ya Javascript na URIs za kurejelea zinazohitajika
Unaweza kuweka katika zote mbili kitu kama http://localhost:8000/callback kwa majaribio
Pata vyeti vya programu yako
Hatimaye, hebu endesha programu ya wavuti ambayo itatumia vyeti vya programu ya OAuth. Unaweza kupata mfano katika https://github.com/carlospolop/gcp_oauth_phishing_example.
Nenda kwenye http://localhost:8000 bonyeza kitufe cha Ingia na Google, utaonyeshwa ujumbe kama huu:
Programu hiyo itaonyesha token za ufikiaji na za kusasisha ambazo zinaweza kutumika kwa urahisi. Kwa maelezo zaidi kuhusu jinsi ya kutumia token hizi angalia:
GCP - Token Persistance
glcoudInawezekana kufanya kitu kwa kutumia gcloud badala ya console ya wavuti, angalia:
GCP - ClientAuthConfig Priveschttps://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch na Beau Bullock - OK Google, Je, ninawezaje kuunda Red Team GSuite?
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
