GWS - Google Platforms Phishing
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Görünüşe göre, varsayılan olarak, workspace üyeleri gruplar oluşturabilir ve insanları davet edebilirler. Daha sonra kullanıcıya gönderilecek e-postayı bazı bağlantılar ekleyerek değiştirebilirsiniz. E-posta bir google adresinden gelecektir, bu nedenle legit görünecek ve insanlar bağlantıya tıklayabilir.
Ayrıca, FROM adresini Google grup e-postası olarak ayarlamak ve gruptaki kullanıcılara daha fazla e-posta göndermek mümkündür; aşağıdaki resimde olduğu gibi grup google--support@googlegroups.com oluşturulmuş ve gruptaki tüm üyelere bir e-posta gönderilmiştir (izin olmadan eklenmişlerdir).
Bir kişiyle sadece e-posta adresini kullanarak bir sohbet başlatabilir veya konuşma daveti gönderebilirsiniz. Ayrıca, herhangi bir isimle (örneğin "Google Destek") bir Alan oluşturmak ve üye davet etmek mümkündür. Kabul ederlerse, Google Destek ile konuşuyorlarmış gibi düşünebilirler:
Ancak testlerimde davet edilen üyeler davet bile almadı.
Bunun geçmişte nasıl çalıştığını kontrol edebilirsiniz: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s
Geçmişte, görünüşte meşru bir belge oluşturmak ve bir yorumda bazı e-postaları (örneğin @user@gmail.com) belirtmek mümkündü. Google, o e-posta adresine belgede bahsedildiğini bildiren bir e-posta gönderdi. Günümüzde bu çalışmıyor ama eğer kurbanın e-posta erişimini belgeye verirseniz, Google bu durumu belirten bir e-posta gönderecektir. Birini bahsettiğinizde görünen mesaj budur:
Kurbanların, kendilerine dış bir belgenin paylaşıldığını belirten e-postaların ulaşmasını engelleyen koruma mekanizmaları olabilir.
Bir takvim etkinliği oluşturabilir ve saldırdığınız şirketin sahip olduğu kadar e-posta adresi ekleyebilirsiniz. Bu takvim etkinliğini mevcut zamandan 5 veya 15 dakika sonra planlayın. Etkinliği meşru gösterecek şekilde yapın ve okumaları gereken bir şey olduğunu belirten bir yorum ve başlık ekleyin (ile birlikte phishing link).
Bu, "İnsanları İşten Çıkarma" başlıklı bir toplantı ile tarayıcıda görünecek uyarıdır, bu nedenle daha phishing benzeri bir başlık ayarlayabilirsiniz (ve hatta e-posta ile ilişkilendirilmiş ismi değiştirebilirsiniz).
Daha az şüpheli görünmesi için:
alıcıların diğer davet edilen kişileri göremeyecek şekilde ayarlayın
Etkinlik hakkında bildirim e-postası göndermeyin. Böylece, insanlar sadece 5 dakika içinde bir toplantı hakkında uyarı görecek ve o bağlantıyı okumaları gerektiğini bilecekler.
Görünüşe göre API kullanarak doğru olarak insanların etkinliği kabul ettiğini ayarlayabilir ve hatta onların adına yorumlar oluşturabilirsiniz.
https://script.google.com/ adresinde bir script oluşturmak ve herkesin erişebileceği bir web uygulaması olarak sergilemek mümkündür; bu, meşru alan script.google.com kullanacaktır.
Aşağıdaki gibi bir kod ile bir saldırgan, bu sayfada durmaksızın keyfi içerik yüklemesini sağlayabilir:
Örneğin https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec adresine eriştiğinizde şunları göreceksiniz:
İçerik bir iframe içinde yüklendiğinde bir uyarı belirecektir.
Kurbanın OAuth token'ına erişim sağlamak için belgelere bağlı App Scripts oluşturmak mümkündür, daha fazla bilgi için kontrol edin:
GWS - App ScriptsÖnceki tekniklerden herhangi biri, kullanıcının Google OAuth uygulamasına erişmesini sağlamak için kullanılabilir; bu uygulama kullanıcıdan bazı erişim talep edecektir. Eğer kullanıcı kaynağa güveniyorsa, uygulamaya da güvenebilir (yüksek ayrıcalıklı izinler istese bile).
Google, uygulamanın güvenilir olmadığını belirten çirkin bir uyarı sunar ve Workspace yöneticileri, insanların OAuth uygulamalarını kabul etmesini engelleyebilir.
Google, kullanıcılar adına çeşitli Google hizmetleri ile etkileşimde bulunabilen uygulamalar oluşturmayı sağlar: Gmail, Drive, GCP...
Diğer kullanıcılar adına hareket edecek bir uygulama oluştururken, geliştirici GCP içinde bir OAuth uygulaması oluşturmalı ve uygulamanın kullanıcı verilerine erişmesi için gerekli kapsamları (izinleri) belirtmelidir. Bir kullanıcı bu uygulamayı kullanmak istediğinde, kendilerine belirtilen kapsamda verilerine erişim izni vermeleri için istek alacaklardır.
Bu, teknik bilgisi olmayan kullanıcıları hassas bilgilere erişen uygulamaları kullanmaya phish etmek için çok cazip bir yoldur çünkü sonuçları anlamayabilirler. Ancak, organizasyon hesaplarında bunun olmasını önlemenin yolları vardır.
Daha önce belirtildiği gibi, Google her zaman kullanıcının uygulamaya verdikleri izinleri kabul etmesi için bir istem sunacaktır. Ancak, uygulama tehlikeli olarak kabul edilirse, Google önce tehlikeli olduğunu belirten bir istek gösterecek ve kullanıcının uygulamaya izin vermesini daha zor hale getirecektir.
Bu istem, aşağıdaki durumlarda görülen uygulamalarda görünür:
Özel verilere erişebilen herhangi bir kapsam kullanıyorsa (Gmail, Drive, GCP, BigQuery...)
100'den az kullanıcıya sahip uygulamalar (100'den fazla kullanıcıya sahip uygulamalar için doğrulama süreci de gereklidir, böylece doğrulanmamış istem gösterilmez)
Burada tüm Google OAuth kapsamlarının bir listesini bulabilirsiniz.
cloud-platform: Google Cloud Platform hizmetleri arasında verilerinizi görüntüleyin ve yönetin. GCP'de kullanıcıyı taklit edebilirsiniz.
admin.directory.user.readonly: Kuruluşunuzun GSuite dizinini görün ve indirin. Tüm kullanıcıların isimlerini, telefonlarını, takvim URL'lerini alın.
Bir OAuth Client ID oluşturmaya başlayın
https://console.cloud.google.com/apis/credentials/oauthclient adresine gidin ve onay ekranını yapılandırmak için tıklayın.
Ardından, kullanıcı türünün içsel (sadece kuruluşunuzdaki kişiler için) mi yoksa dışsal mı olduğunu soracaktır. İhtiyacınıza uygun olanı seçin.
İçsel, eğer zaten bir kullanıcıyı ele geçirdiyseniz ve bu uygulamayı başka birini phish etmek için oluşturuyorsanız ilginç olabilir.
Uygulamaya bir isim verin, bir destek e-postası (kendinizi biraz daha anonimleştirmek için bir googlegroup e-postası ayarlayabileceğinizi unutmayın), bir logo, yetkili alanlar ve güncellemeler için başka bir e-posta verin.
OAuth kapsamlarını seçin.
Bu sayfa, hassas olmayan izinler, hassas izinler ve kısıtlı izinler olarak bölünmüştür. Her yeni izin eklediğinizde, kendi kategorisine eklenir. İstenen izinlere bağlı olarak, kullanıcının bu izinlerin ne kadar hassas olduğunu belirten farklı istemler görünecektir.
Hem admin.directory.user.readonly hem de cloud-platform hassas izinlerdir.
Test kullanıcılarını ekleyin. Uygulamanın durumu test aşamasındayken, yalnızca bu kullanıcılar uygulamaya erişebilecektir, bu nedenle phish edeceğiniz e-postayı eklediğinizden emin olun.
Şimdi önceden oluşturulan OAuth Client ID kullanarak bir web uygulaması için kimlik bilgileri alalım:
https://console.cloud.google.com/apis/credentials/oauthclient adresine geri dönün, bu sefer farklı bir seçenek görünecektir.
Bir Web uygulaması için kimlik bilgileri oluşturmayı seçin.
Gerekli Javascript kökenlerini ve yönlendirme URI'lerini ayarlayın.
Test için her ikisine de http://localhost:8000/callback gibi bir şey ayarlayabilirsiniz.
Uygulamanızın kimlik bilgilerini alın.
Son olarak, OAuth uygulama kimlik bilgilerini kullanacak bir web uygulaması çalıştıralım. Örneği https://github.com/carlospolop/gcp_oauth_phishing_example adresinde bulabilirsiniz.
http://localhost:8000 adresine gidin, Google ile Giriş yap butonuna tıklayın, size bu gibi bir mesaj gösterilecektir:
Uygulama, kolayca kullanılabilecek erişim ve yenileme token'larını gösterecektir. Bu token'ları nasıl kullanacağınız hakkında daha fazla bilgi için kontrol edin:
GCP - Token Persistance
glcoud KullanımıWeb konsolu yerine gcloud kullanarak bir şeyler yapmak mümkündür, kontrol edin:
GCP - ClientAuthConfig Priveschttps://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - G Suite Hackleme: Karanlık Uygulama Script Büyüsünün Gücü
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch ve Beau Bullock - Tamam Google, GSuite'i Kırmızı Takım olarak nasıl yaparım?
AWS Hackleme Öğrenin ve Pratik Yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hackleme Öğrenin ve Pratik Yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
