GWS - Google Platforms Phishing

Jifunze udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au fuata kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Mbinu ya Kijumla ya Udukuzi

Udukuzi wa Vikundi vya Google

Inavyoonekana, kwa chaguo-msingi, kwenye wanachama wa eneo la kazi wanaweza kuunda vikundi na kuwaalika watu kwao. Unaweza kisha kurekebisha barua pepe itakayotumwa kwa mtumiaji kwa kuongeza viungo fulani. Barua pepe itatoka kwa anwani ya google, hivyo itaonekana halali na watu wanaweza bonyeza kiungo.

Pia ni rahisi kuweka anwani ya FROM kama barua pepe ya kikundi cha Google kutuma barua pepe zaidi kwa watumiaji ndani ya kikundi, kama ilivyo kwenye picha ifuatayo ambapo kikundi google--support@googlegroups.com kiliumbwa na barua pepe iliyotumwa kwa wanachama wote wa kikundi (walioongezwa bila ridhaa yoyote)

Udukuzi wa Mazungumzo ya Google

Unaweza kuanza mazungumzo na mtu kwa kutumia anwani yao ya barua pepe au kutuma mwaliko wa kuzungumza. Zaidi ya hayo, ni rahisi kuunda Nafasi ambayo inaweza kuwa na jina lolote (k.m. "Msaada wa Google") na kuwaalika wanachama kwake. Ikiwa watakubali wanaweza kufikiri wanazungumza na Msaada wa Google:

Hata hivyo, katika majaribio yangu wanachama walioalikwa hawakupokea hata mwaliko.

Unaweza kuangalia jinsi hii ilivyofanya kazi hapo awali katika: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s

Udukuzi wa Google Doc

Hapo awali ilikuwa inawezekana kuunda hati inayoonekana halali na kisha katika maoni kutaja barua pepe fulani (kama @user@gmail.com). Google ilituma barua pepe kwa anwani hiyo ya barua pepe ikionya kwamba walitajwa kwenye hati. Leo hii, hii haifanyi kazi lakini ikiwa unampa mtu anwani ya barua pepe ufikiaji wa hati Google itatuma barua pepe ikionyesha hivyo. Hii ndio ujumbe unaotokea unapomtaja mtu:

Waathiriwa wanaweza kuwa na kinga ambayo haiwaruhusu barua pepe zinazoonyesha kwamba hati ya nje ilishirikiwa nao kufikia barua pepe zao.

Udukuzi wa Kalenda ya Google

Unaweza kuunda tukio la kalenda na kuongeza anwani za barua pepe za kampuni unayoshambulia kadri unavyoweza. Panga tukio hili la kalenda katika 5 au 15 min kutoka wakati wa sasa. Fanya tukio lionekane halali na weka maoni na kichwa kinachoonyesha wanahitaji kusoma kitu (na kiungo cha udukuzi).

Hii ndio onyo litakaloonekana kwenye kivinjari na kichwa cha mkutano "Kufuta Watu", hivyo unaweza kuweka kichwa cha udukuzi zaidi (na hata kubadilisha jina linalohusishwa na barua pepe yako).

Ili ionekane isiwe ya kushukiwa:

Weka ili wapokeaji wasione watu wengine walioalikwa
Usitume barua pepe zinazotangaza kuhusu tukio. Kisha, watu wataona onyo lao kuhusu mkutano katika dakika 5 na kwamba wanahitaji kusoma kiungo hicho.
Inavyoonekana kwa kutumia API unaweza kuweka kuwa Watu wame kubali tukio na hata kuunda maoni kwa niaba yao.

Udukuzi wa Kuhamisha wa App Scripts

Inawezekana kuunda script katika https://script.google.com/ na kuifunua kama programu ya wavuti inayopatikana na kila mtu ambayo itatumia kikoa halali script.google.com. Kisha na baadhi ya nambari kama ifuatavyo muhusika anaweza kufanya script kupakia yaliyomo yoyote kwenye ukurasa huu bila kuacha kupata kikoa:

function doGet() {
return HtmlService.createHtmlOutput('<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">')
.setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL);
}

Kwa mfano kufikia https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec utaona:

Tafadhali kumbuka onyo litatokea kwani yaliyomo yamepakuliwa ndani ya iframe.

Udukuzi wa OAuth wa App Scripts

Inawezekana kuunda App Scripts zilizounganishwa na hati ili kujaribu kupata ufikiaji wa tokeni ya OAuth ya waathiriwa, kwa maelezo zaidi angalia:

pageGWS - App Scripts

Udukuzi wa Programu za OAuth

Moja ya mbinu zilizotangulia inaweza kutumika kufanya mtumiaji kupata ufikiaji wa programu ya Google OAuth ambayo itaomba mtumiaji baadhi ya ufikiaji. Ikiwa mtumiaji anamtumaini chanzo anaweza kumtumaini programu (hata kama inauliza ruhusa za juu).

Tafadhali kumbuka Google inaleta onyo baya linaloonyesha kwamba programu sio ya kuaminika katika hali kadhaa na waandamizi wa Workspace wanaweza hata kuzuia watu kukubali programu za OAuth.

Google inaruhusu kuunda programu ambazo zinaweza kutenda kwa niaba ya watumiaji na huduma kadhaa za Google: Gmail, Drive, GCP...

Unapounda programu ya kutenda kwa niaba ya watumiaji wengine, mwandishi anahitaji kuunda programu ya OAuth ndani ya GCP na kuonyesha ruhusa (idhini) ambazo programu inahitaji kupata data za watumiaji. Wakati mtumiaji anapotaka kutumia programu hiyo, watapata ombi la kukubali kwamba programu hiyo itakuwa na ufikiaji wa data zao zilizotajwa katika ruhusa.

Hii ni njia nzuri sana ya kudukua watumiaji wasio na ujuzi wa kiteknolojia kutumia programu zinazopata habari nyeti kwa sababu wanaweza kutokuelewa matokeo. Walakini, katika akaunti za shirika, kuna njia za kuzuia hili lisitokee.

Onyo la Programu Isiyothibitishwa

Kama ilivyotajwa, google daima italeta ombi kwa mtumiaji kukubali ruhusa wanazotoa kwa niaba ya programu. Walakini, ikiwa programu inachukuliwa hatari, google itaonyesha kwanza onyo linaloonyesha kuwa ni hatari na kufanya iwe ngumu zaidi kwa mtumiaji kutoa ruhusa kwa programu.

Onyo hili linaonekana kwenye programu ambazo:

Zinatumia ruhusa yoyote inayoweza kupata data za kibinafsi (Gmail, Drive, GCP, BigQuery...)
Programu zenye watumiaji chini ya 100 (programu > 100 mchakato wa ukaguzi unahitajika pia ili kuzuia kuonyesha onyo lisilothibitishwa)

Ruhusa Zinazovutia

Hapa unaweza kupata orodha ya ruhusa zote za Google OAuth.

cloud-platform: Angalia na udhibiti data yako kote katika huduma za Google Cloud Platform. Unaweza kujifanya kuwa mtumiaji katika GCP.
admin.directory.user.readonly: Angalia na pakua orodha ya GSuite ya shirika lako. Pata majina, simu, URL za kalenda za watumiaji wote.

Unda Programu ya OAuth

Anza kuunda Kitambulisho cha Mteja cha OAuth

Nenda kwa https://console.cloud.google.com/apis/credentials/oauthclient na bonyeza kwenye configure the consent screen.
Kisha, utaulizwa ikiwa aina ya mtumiaji ni ndani (kwa watu katika shirika lako) au nje. Chagua ile inayofaa mahitaji yako

Ndani inaweza kuwa ya kuvutia ikiwa tayari umedukua mtumiaji wa shirika na unatumia App hii kudukua mwingine.

Toa jina kwa programu, barua pepe ya msaada (kumbuka unaweza kuweka barua pepe ya kikundi cha Google kujaribu kujificha kidogo zaidi), alama, vikozi vilivoidhinishwa na barua pepe nyingine kwa masasisho.
Chagua ruhusa za OAuth.

Ukurasa huu umegawanywa katika ruhusa zisizo nyeti, ruhusa nyeti na ruhusa zilizozuiwa. Kila wakati unapoongeza ruhusa mpya inaongezwa kwenye jamii yake. Kulingana na ruhusa zilizoombwa, onyo tofauti litatokea kwa mtumiaji kuonyesha jinsi ruhusa hizi ni nyeti.
admin.directory.user.readonly na cloud-platform ni ruhusa nyeti.

Ongeza watumiaji wa majaribio. Kwa muda mrefu hali ya programu ni majaribio, watumiaji hawa pekee ndio watakaoweza kupata programu hakikisha kuongeza barua pepe unayotaka kudukua.

Sasa tupate vitambulisho kwa programu ya wavuti kwa kutumia Kitambulisho cha Mteja cha OAuth kilichoundwa hapo awali:

Rudi kwa https://console.cloud.google.com/apis/credentials/oauthclient, chaguo tofauti litatokea wakati huu.
Chagua kuunda vitambulisho kwa programu ya Wavuti
Weka asili za Javascript zinazohitajika na URIs za kuelekeza

Unaweza kuweka kitu kama http://localhost:8000/callback kwa majaribio

Pata vitambulisho vya programu yako

Hatimaye, hebu endesha programu ya wavuti itakayotumia vitambulisho vya programu ya OAuth. Unaweza kupata mfano katika https://github.com/carlospolop/gcp_oauth_phishing_example.

git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"

Nenda kwenye http://localhost:8000 bonyeza kitufe cha Ingia na Google, utaletewa ujumbe kama huu:

Programu itaonyesha ufikiaji na kisasaishaji wa tokeni ambazo zinaweza kutumika kwa urahisi. Kwa maelezo zaidi kuhusu jinsi ya kutumia tokeni hizi angalia:

pageGCP - Non-svc Persistance

Kutumia `gcloud`

Inawezekana kufanya kitu kwa kutumia gcloud badala ya konsoli ya wavuti, angalia:

pageGCP - ClientAuthConfig Privesc

Marejeo

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Kudukua G Suite: Nguvu ya Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch na Beau Bullock - OK Google, Nifanyeje Red Team GSuite?

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 kikundi cha Discord](https://discord.gg/hRep4RUj7f) au kikundi cha telegram](https://t.me/peass) au nifuata kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za kudukua kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.