GWS - Google Platforms Phishing
Mbinu ya Kijumla ya Udukuzi
Udukuzi wa Vikundi vya Google
Inavyoonekana, kwa chaguo-msingi, kwenye wanachama wa eneo la kazi wanaweza kuunda vikundi na kuwaalika watu kwao. Unaweza kisha kurekebisha barua pepe itakayotumwa kwa mtumiaji kwa kuongeza viungo fulani. Barua pepe itatoka kwa anwani ya google, hivyo itaonekana halali na watu wanaweza bonyeza kiungo.
Pia ni rahisi kuweka anwani ya FROM kama barua pepe ya kikundi cha Google kutuma barua pepe zaidi kwa watumiaji ndani ya kikundi, kama ilivyo kwenye picha ifuatayo ambapo kikundi google--support@googlegroups.com
kiliumbwa na barua pepe iliyotumwa kwa wanachama wote wa kikundi (walioongezwa bila ridhaa yoyote)
Udukuzi wa Mazungumzo ya Google
Unaweza kuanza mazungumzo na mtu kwa kutumia anwani yao ya barua pepe au kutuma mwaliko wa kuzungumza. Zaidi ya hayo, ni rahisi kuunda Nafasi ambayo inaweza kuwa na jina lolote (k.m. "Msaada wa Google") na kuwaalika wanachama kwake. Ikiwa watakubali wanaweza kufikiri wanazungumza na Msaada wa Google:
Hata hivyo, katika majaribio yangu wanachama walioalikwa hawakupokea hata mwaliko.
Unaweza kuangalia jinsi hii ilivyofanya kazi hapo awali katika: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s
Udukuzi wa Google Doc
Hapo awali ilikuwa inawezekana kuunda hati inayoonekana halali na kisha katika maoni kutaja barua pepe fulani (kama @user@gmail.com). Google ilituma barua pepe kwa anwani hiyo ya barua pepe ikionya kwamba walitajwa kwenye hati. Leo hii, hii haifanyi kazi lakini ikiwa unampa mtu anwani ya barua pepe ufikiaji wa hati Google itatuma barua pepe ikionyesha hivyo. Hii ndio ujumbe unaotokea unapomtaja mtu:
Waathiriwa wanaweza kuwa na kinga ambayo haiwaruhusu barua pepe zinazoonyesha kwamba hati ya nje ilishirikiwa nao kufikia barua pepe zao.
Udukuzi wa Kalenda ya Google
Unaweza kuunda tukio la kalenda na kuongeza anwani za barua pepe za kampuni unayoshambulia kadri unavyoweza. Panga tukio hili la kalenda katika 5 au 15 min kutoka wakati wa sasa. Fanya tukio lionekane halali na weka maoni na kichwa kinachoonyesha wanahitaji kusoma kitu (na kiungo cha udukuzi).
Hii ndio onyo litakaloonekana kwenye kivinjari na kichwa cha mkutano "Kufuta Watu", hivyo unaweza kuweka kichwa cha udukuzi zaidi (na hata kubadilisha jina linalohusishwa na barua pepe yako).
Ili ionekane isiwe ya kushukiwa:
Weka ili wapokeaji wasione watu wengine walioalikwa
Usitume barua pepe zinazotangaza kuhusu tukio. Kisha, watu wataona onyo lao kuhusu mkutano katika dakika 5 na kwamba wanahitaji kusoma kiungo hicho.
Inavyoonekana kwa kutumia API unaweza kuweka kuwa Watu wame kubali tukio na hata kuunda maoni kwa niaba yao.
Udukuzi wa Kuhamisha wa App Scripts
Inawezekana kuunda script katika https://script.google.com/ na kuifunua kama programu ya wavuti inayopatikana na kila mtu ambayo itatumia kikoa halali script.google.com
.
Kisha na baadhi ya nambari kama ifuatavyo muhusika anaweza kufanya script kupakia yaliyomo yoyote kwenye ukurasa huu bila kuacha kupata kikoa:
Kwa mfano kufikia https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec utaona:
Tafadhali kumbuka onyo litatokea kwani yaliyomo yamepakuliwa ndani ya iframe.
Udukuzi wa OAuth wa App Scripts
Inawezekana kuunda App Scripts zilizounganishwa na hati ili kujaribu kupata ufikiaji wa tokeni ya OAuth ya waathiriwa, kwa maelezo zaidi angalia:
pageGWS - App ScriptsUdukuzi wa Programu za OAuth
Moja ya mbinu zilizotangulia inaweza kutumika kufanya mtumiaji kupata ufikiaji wa programu ya Google OAuth ambayo itaomba mtumiaji baadhi ya ufikiaji. Ikiwa mtumiaji anamtumaini chanzo anaweza kumtumaini programu (hata kama inauliza ruhusa za juu).
Tafadhali kumbuka Google inaleta onyo baya linaloonyesha kwamba programu sio ya kuaminika katika hali kadhaa na waandamizi wa Workspace wanaweza hata kuzuia watu kukubali programu za OAuth.
Google inaruhusu kuunda programu ambazo zinaweza kutenda kwa niaba ya watumiaji na huduma kadhaa za Google: Gmail, Drive, GCP...
Unapounda programu ya kutenda kwa niaba ya watumiaji wengine, mwandishi anahitaji kuunda programu ya OAuth ndani ya GCP na kuonyesha ruhusa (idhini) ambazo programu inahitaji kupata data za watumiaji. Wakati mtumiaji anapotaka kutumia programu hiyo, watapata ombi la kukubali kwamba programu hiyo itakuwa na ufikiaji wa data zao zilizotajwa katika ruhusa.
Hii ni njia nzuri sana ya kudukua watumiaji wasio na ujuzi wa kiteknolojia kutumia programu zinazopata habari nyeti kwa sababu wanaweza kutokuelewa matokeo. Walakini, katika akaunti za shirika, kuna njia za kuzuia hili lisitokee.
Onyo la Programu Isiyothibitishwa
Kama ilivyotajwa, google daima italeta ombi kwa mtumiaji kukubali ruhusa wanazotoa kwa niaba ya programu. Walakini, ikiwa programu inachukuliwa hatari, google itaonyesha kwanza onyo linaloonyesha kuwa ni hatari na kufanya iwe ngumu zaidi kwa mtumiaji kutoa ruhusa kwa programu.
Onyo hili linaonekana kwenye programu ambazo:
Zinatumia ruhusa yoyote inayoweza kupata data za kibinafsi (Gmail, Drive, GCP, BigQuery...)
Programu zenye watumiaji chini ya 100 (programu > 100 mchakato wa ukaguzi unahitajika pia ili kuzuia kuonyesha onyo lisilothibitishwa)
Ruhusa Zinazovutia
Hapa unaweza kupata orodha ya ruhusa zote za Google OAuth.
cloud-platform: Angalia na udhibiti data yako kote katika huduma za Google Cloud Platform. Unaweza kujifanya kuwa mtumiaji katika GCP.
admin.directory.user.readonly: Angalia na pakua orodha ya GSuite ya shirika lako. Pata majina, simu, URL za kalenda za watumiaji wote.
Unda Programu ya OAuth
Anza kuunda Kitambulisho cha Mteja cha OAuth
Nenda kwa https://console.cloud.google.com/apis/credentials/oauthclient na bonyeza kwenye configure the consent screen.
Kisha, utaulizwa ikiwa aina ya mtumiaji ni ndani (kwa watu katika shirika lako) au nje. Chagua ile inayofaa mahitaji yako
Ndani inaweza kuwa ya kuvutia ikiwa tayari umedukua mtumiaji wa shirika na unatumia App hii kudukua mwingine.
Toa jina kwa programu, barua pepe ya msaada (kumbuka unaweza kuweka barua pepe ya kikundi cha Google kujaribu kujificha kidogo zaidi), alama, vikozi vilivoidhinishwa na barua pepe nyingine kwa masasisho.
Chagua ruhusa za OAuth.
Ukurasa huu umegawanywa katika ruhusa zisizo nyeti, ruhusa nyeti na ruhusa zilizozuiwa. Kila wakati unapoongeza ruhusa mpya inaongezwa kwenye jamii yake. Kulingana na ruhusa zilizoombwa, onyo tofauti litatokea kwa mtumiaji kuonyesha jinsi ruhusa hizi ni nyeti.
admin.directory.user.readonly
nacloud-platform
ni ruhusa nyeti.
Ongeza watumiaji wa majaribio. Kwa muda mrefu hali ya programu ni majaribio, watumiaji hawa pekee ndio watakaoweza kupata programu hakikisha kuongeza barua pepe unayotaka kudukua.
Sasa tupate vitambulisho kwa programu ya wavuti kwa kutumia Kitambulisho cha Mteja cha OAuth kilichoundwa hapo awali:
Rudi kwa https://console.cloud.google.com/apis/credentials/oauthclient, chaguo tofauti litatokea wakati huu.
Chagua kuunda vitambulisho kwa programu ya Wavuti
Weka asili za Javascript zinazohitajika na URIs za kuelekeza
Unaweza kuweka kitu kama
http://localhost:8000/callback
kwa majaribio
Pata vitambulisho vya programu yako
Hatimaye, hebu endesha programu ya wavuti itakayotumia vitambulisho vya programu ya OAuth. Unaweza kupata mfano katika https://github.com/carlospolop/gcp_oauth_phishing_example.
Nenda kwenye http://localhost:8000
bonyeza kitufe cha Ingia na Google, utaletewa ujumbe kama huu:
Programu itaonyesha ufikiaji na kisasaishaji wa tokeni ambazo zinaweza kutumika kwa urahisi. Kwa maelezo zaidi kuhusu jinsi ya kutumia tokeni hizi angalia:
pageGCP - Non-svc PersistanceKutumia gcloud
gcloud
Inawezekana kufanya kitu kwa kutumia gcloud badala ya konsoli ya wavuti, angalia:
pageGCP - ClientAuthConfig PrivescMarejeo
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Kudukua G Suite: Nguvu ya Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch na Beau Bullock - OK Google, Nifanyeje Red Team GSuite?
Last updated