GWS - Google Platforms Phishing

सामान्य फिशिंग मेथडोलॉजी

Google समूह फिशिंग

जाहिर है, डिफ़ॉल्ट रूप से, कार्यस्थल सदस्य समूह बना सकते हैं और उन्हें उसमें आमंत्रित कर सकते हैं। फिर आप उस उपयोगकर्ता को भेजने वाले ईमेल को संशोधित कर सकते हैं कुछ लिंक जोड़कर। ईमेल एक गूगल पते से आएगा, इसलिए यह वैध लगेगा और लोग लिंक पर क्लिक कर सकते हैं।

यह भी संभव है कि FROM पते को Google समूह ईमेल के रूप में सेट किया जा सकता है ताकि समूह के सभी सदस्यों को अधिक ईमेल भेजा जा सके, जैसे कि निम्नलिखित छवि में जहां समूह google--support@googlegroups.com बनाया गया था और समूह के सभी सदस्यों को एक ईमेल भेजा गया था (जिन्हें किसी सहमति के बिना जोड़ा गया था)

Google चैट फिशिंग

आप शायद एक व्यक्ति के साथ चैट शुरू कर सकते हैं जिसके पास केवल उनका ईमेल पता है या एक बातचीत के लिए आमंत्रण भेज सकते हैं। इसके अतिरिक्त, एक Space बनाना संभव है जिसमें कोई भी नाम हो सकता है (जैसे "Google समर्थन") और उसमें सदस्यों को आमंत्रित कर सकते हैं। यदि वे स्वीकार करते हैं तो वे सोच सकते हैं कि वे Google समर्थन से बात कर रहे हैं:

आप यह देख सकते हैं कि यह पिछले में कैसे काम करता था: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s

Google डॉक फिशिंग

पहले एक वैध दस्तावेज़ बनाना संभव था और फिर एक टिप्पणी में किसी ईमेल का उल्लेख करना (जैसे @user@gmail.com)। Google ने उस ईमेल पते पर एक ईमेल भेजा जिसमें उन्हें सूचित किया गया कि उन्हें दस्तावेज़ में उल्लेख किया गया था। आजकल, यह काम नहीं करता है लेकिन यदि आप विक्टिम ईमेल को दस्तावेज़ तक पहुँचाते हैं तो Google एक ईमेल भेजेगा जिसमें ऐसा सूचित किया जाएगा। जब आप किसी को उल्लेख करते हैं तो यह संदेश दिखाई देता है:

Google कैलेंडर फिशिंग

आप एक कैलेंडर घटना बना सकते हैं और आपके पास जितने भी कंपनी के ईमेल पते हैं, उन्हें जोड़ सकते हैं। इस कैलेंडर घटना को वर्तमान समय से 5 या 15 मिनट में निर्धारित करें। इस घटना को वैध दिखाएं और एक टिप्पणी और शीर्षक जोड़ें जिससे उन्हें कुछ पढ़ने की आवश्यकता है (फिशिंग लिंक के साथ)।

यह उपयोगकर्ता को ब्राउज़र में एक चेतावनी दिखाएगा जिसमें एक मीटिंग शीर्षक "लोगों को नौकरी से निकालना" होगा, इसलिए आप एक और फिशिंग जैसा शीर्षक सेट कर सकते हैं (और अपने ईमेल से संबंधित नाम भी बदल सकते हैं)।

इसे संदेशपूर्ण दिखाने के लिए करने के लिए:

• इसे ऐसे सेट करें कि प्राप्तकर्ता दूसरे आमंत्रित लोगों को नहीं देख सकते

• घटना के बारे में ईमेल न भेजें। फिर, लोग केवल अपनी चेतावनी देखेंगे कि 5 मिनट में एक मीटिंग है और उन्हें उस लिंक को पढ़ने की आवश्यकता है।

• प्रायः API का उपयोग करके आप सेट कर सकते हैं कि लोग ने घटना स्वीकार की है और उनके पक्ष में टिप्पणियाँ बना सकते हैं।

ऐप स्क्रिप्ट रीडायरेक्ट फिशिंग

https://script.google.com/ में एक स्क्रिप्ट बनाना संभव है और सभी द्वारा एक्सेस करने योग्य एक वेब एप्लिकेशन के रूप में उसे उजागर करना संभव है जो वैध डोमेन script.google.com का उपयोग करेगा। फिर कुछ कोड के साथ एक आक्रमणकारी स्क्रिप्ट को इस पृष्ठ में अविरल सामग्री लोड करने के लिए एक हमलावर कर सकता था:

function doGet() {
return HtmlService.createHtmlOutput('<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">')
.setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL);
}

For example accessing https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec you will see:

ऐप स्क्रिप्ट्स OAuth फिशिंग

यह संभव है कि दस्तावेज़ों के साथ जुड़े एप स्क्रिप्ट्स बनाना और उन्हें विक्टिम के OAuth टोकन पर पहुंचने की कोशिश करना, अधिक जानकारी के लिए देखें:

OAuth ऐप्स फिशिंग

पिछली किसी भी तकनीक का उपयोग किया जा सकता है ताकि उपयोगकर्ता Google OAuth ऐप्लिकेशन तक पहुंच सके जो उपयोगकर्ता से कुछ पहुंच मांगेगा। यदि उपयोगकर्ता स्रोत पर विश्वास करता है तो वह ऐप्लिकेशन पर विश्वास कर सकता है (यदि यह उच्च विशेषाधिकार वाली अनुमतियाँ मांग रहा है तो भी)।

Google किसी ऐप्लिकेशन को बनाने की अनुमति देता है जो कई Google सेवाओं के लिए उपयोगकर्ताओं के पक्ष में काम कर सकता है: Gmail, Drive, GCP...

जब किसी अन्य उपयोगकर्ता के पक्ष में काम करने के लिए एक ऐप्लिकेशन बनाया जाता है, तो डेवलपर को एक GCP के अंदर OAuth ऐप्लिकेशन बनाने की आवश्यकता होती है और उन्हें स्कोप्स (अनुमतियाँ) दर्ज करनी होती है जिनके माध्यम से उपयोगकर्ताओं के डेटा तक पहुंचने की आवश्यकता है। जब एक उपयोगकर्ता उस ऐप्लिकेशन का उपयोग करना चाहता है, तो उन्हें स्कोप्स में निर्दिष्ट उनके डेटा तक पहुंचने की अनुमति देने के लिए स्वीकृति देने के लिए प्रोत्साहित किया जाएगा।

यह एक बहुत ही रुचिकर तरीका है जिसमें गैर-तकनीकी उपयोगकर्ताओं को फिश करने के लिए उपयोगकर्ताओं को उपयोग करने के लिए ऐप्लिकेशनों का उपयोग करने के लिए फिश करने के लिए उपयोग किया जा सकता है क्योंकि उन्हें यह समझने में समस्या हो सकती है। हालांकि, संगठनों के खातों में, इससे बचने के लिए कुछ तरीके हैं।

असत्यापित ऐप प्रॉम्प्ट

जैसा कि उल्लिखित किया गया था, Google हमेशा उपयोगकर्ता को उन अनुमतियों को स्वीकार करने के लिए एक प्रॉम्प्ट प्रस्तुत करेगा जो उन्हें उनके पक्ष में ऐप्लिकेशन पर दी जा रही अनुमतियाँ स्वीकार करने के लिए है। हालांकि, यदि ऐप्लिकेशन को खतरनाक माना जाता है, तो Google पहले एक प्रॉम्प्ट प्रस्तुत करेगा जिसमें यह दिखाया जाएगा कि यह खतरनाक है और उपयोगकर्ता को ऐप्लिकेशन को अनुमतियाँ देने के लिए अधिक कठिन बनाएगा।

यह प्रॉम्प्ट उन ऐप्लिकेशनों में प्रकट होता है जो:

• किसी भी स्कोप का उपयोग करते हैं जो निजी डेटा तक पहुंच सकता है (Gmail, Drive, GCP, BigQuery...)

• 100 से कम उपयोगकर्ताओं वाले ऐप्स (100 से अधिक एक समीक्षा प्रक्रिया भी आवश्यक है ताकि असत्यापित प्रॉम्प्ट दिखाना बंद हो सके)

दिलचस्प स्कोप्स

यहाँ आपको सभी Google OAuth स्कोप्स की सूची मिलेगी।

• cloud-platform: Google Cloud Platform सेवाओं के अंदर अपने डेटा को देखें और प्रबंधित करें। आप GCP में उपयोगकर्ता का प्रतिनिधित्व कर सकते हैं।

• admin.directory.user.readonly: अपने संगठन के GSuite निर्देशिका को देखें और डाउनलोड करें। सभी उपयोगकर्ताओं के नाम, फोन, कैलेंडर URL प्राप्त करें।

एक OAuth ऐप बनाएं

एक OAuth क्लाइंट आईडी बनाना शुरू करें

1. https://console.cloud.google.com/apis/credentials/oauthclient पर जाएं और सहमति स्क्रीन को कॉन्फ़िगर करने पर क्लिक करें।

2. फिर, आपसे पूछा जाएगा कि उपयोगकर्ता प्रकार आंतरिक (केवल आपके संगठन में लोगों के लिए) या बाह्य है। जो आपकी आवश्यकताओं को सुनिश्चित करता है

• आंतरिक यदि आपने पहले संगठन के एक उपयोगकर्ता को कंप्रोमाइज़ किया है और आप एक और को फिश करने के लिए इस ऐप को बना रहे हैं तो यह महत्वपूर्ण हो सकता है।

3. ऐप को एक नाम, एक समर्थन ईमेल (ध्यान दें कि आप अपने आप को और अधिक अनामित करने के लिए एक googlegroup ईमेल सेट कर सकते हैं), एक लोगो, अधिकृत डोमेन और अन्य ईमेल दें अपडेट के लिए।

4. OAuth स्कोप्स का चयन करें।

• यह पृष्ठ गैर संवेदनशील अनुमतियों, संवेदनशील अनुमतियों और प्रतिबंधित अनुमतियों में विभाजित है। हर बार जब आप एक नई अनुमति जोड़ते हैं तो यह उसके वर्ग में जोड़ दी जाती है। अनुमतियों के अनुरोध के आधार पर उपयोगकर्ता को विभिन्न प्रॉम्प्ट प्रस्तुत किए जाएंगे जो इसे सूचित करेंगे कि ये अनुमतियाँ कितनी संवेदनशील हैं।

• दोनों admin.directory.user.readonly और cloud-platform संवेदनशील अनुमतियाँ हैं।

5. परीक्षण उपयोगकर्ता जोड़ें। जब तक ऐप की स्थिति परीक्षण है, केवल ये उपयोगकर्ता ऐप तक पहुंच सकेंगे इसलिए सुनिश्चित करें कि आप फिशिंग करने वाला ईमेल जोड़ रहे हैं।

अब चलिए एक वेब ऐप्लिकेशन के लिए क्रेडेंशियल्स प्राप्त करें जो पहले से बनाए गए OAuth क्लाइंट आईडी का उपयोग करेगा:

1. https://console.cloud.google.com/apis/credentials/oauthclient पर वापस जाएं, इस बार एक अलग विकल्प प्रकट होगा।

2. वेब ऐप्लिकेशन के लिए क्रेडेंशियल्स बनाने का चयन करें

git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"

जाएं http://localhost:8000 पर, Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का संदेश दिखाई देगा:

एप्लिकेशन एक्सेस और रिफ्रेश टोकन दिखाएगा जो आसानी से उपयोग किया जा सकता है। इन टोकन्स का उपयोग कैसे करें के बारे में अधिक जानकारी के लिए देखें:

glcoud का उपयोग

वेब कंसोल के बजाय gcloud का उपयोग करके कुछ करना संभव है, देखें:

संदर्भ

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch और Beau Bullock - OK Google, How do I Red Team GSuite?