GWS - Google Platforms Phishing

Reading time: 9 minutes

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Kwa kawaida, katika workspace wanachama wanaweza kuunda makundi na kuwakaribisha watu ndani yao. Unaweza kisha kubadilisha barua pepe itakayotumwa kwa mtumiaji ukiongeza baadhi ya viungo. Barua pepe hiyo itakuja kutoka anwani ya google, hivyo itakuwa halali na watu wanaweza kubofya kwenye kiungo.

Pia inawezekana kuweka anwani ya FROM kama barua pepe ya kundi la Google ili kutuma barua pepe zaidi kwa watumiaji ndani ya kundi, kama katika picha ifuatayo ambapo kundi google--support@googlegroups.com lilianzishwa na barua pepe ilitumwa kwa wanachama wote wa kundi (ambao waliongezwa bila ridhaa yoyote)

Google Chat Phishing

Unaweza kuwa na uwezo wa kuanzisha mazungumzo na mtu kwa kuwa na anwani yao ya barua pepe au kutuma kialiko cha kuzungumza. Zaidi ya hayo, inawezekana kuunda Space ambayo inaweza kuwa na jina lolote (mfano "Google Support") na kuwalika wanachama ndani yake. Ikiwa watakubali wanaweza kufikiri wanazungumza na Google Support:

tip

Katika majaribio yangu hata hivyo, wanachama waliokaribishwa hawakupokea hata mwaliko.

Unaweza kuangalia jinsi hii ilivyofanya kazi zamani katika: https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s

Google Doc Phishing

Katika siku za nyuma ilikuwa inawezekana kuunda nyaraka inayodhaniwa kuwa halali na katika maoni kuitaja barua pepe fulani (kama @user@gmail.com). Google ilituma barua pepe kwa anwani hiyo ya barua pepe ikionyesha kwamba walitajwa katika nyaraka.
Sasa, hii haifanyi kazi lakini ikiwa utampa mwathirika ufikiaji wa barua pepe kwenye nyaraka Google itatuma barua pepe ikionyesha hivyo. Huu ndio ujumbe unaotokea unapomtaja mtu:

tip

Waathirika wanaweza kuwa na mfumo wa ulinzi ambao hauwaruhusu barua pepe zinazotangaza kuwa nyaraka za nje zimeshirikishwa nao kufika kwenye barua zao.

Google Calendar Phishing

Unaweza kuunda tukio la kalenda na kuongeza anwani nyingi za barua pepe za kampuni unayoishambulia kadri unavyoweza. Panga tukio hili la kalenda katika dakika 5 au 15 kutoka wakati wa sasa. Fanya tukio hilo kuonekana halali na weka maoni na kichwa kinachoonyesha kwamba wanahitaji kusoma kitu (pamoja na kiungo cha phishing).

Hii ndiyo arifa itakayojitokeza kwenye kivinjari chenye kichwa cha mkutano "Kuwafuta Watu", hivyo unaweza kuweka kichwa kingine kinachofanana na phishing (na hata kubadilisha jina linalohusishwa na barua pepe yako).

Ili kuifanya ionekane kuwa na shaka kidogo:

Iweke ili wapokeaji wasione watu wengine waliokaribishwa
Usitumie barua pepe kuarifu kuhusu tukio hilo. Kisha, watu wataona tu onyo lao kuhusu mkutano katika dakika 5 na kwamba wanahitaji kusoma kiungo hicho.
Kwa kawaida, kwa kutumia API unaweza kuweka Kweli kwamba watu wame kubali tukio hilo na hata kuunda maoni kwa niaba yao.

App Scripts Redirect Phishing

Inawezekana kuunda script katika https://script.google.com/ na kuifichua kama programu ya wavuti inayopatikana kwa kila mtu ambayo itatumia domain halali script.google.com.
Kwa baadhi ya msimbo kama ifuatavyo, mshambuliaji anaweza kufanya script hiyo ipakue maudhui yasiyo na mipaka kwenye ukurasa huu bila kuacha kufikia domain:

javascript

function doGet() {
return HtmlService.createHtmlOutput(
'<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.wiki/en/pentesting-cloud/workspace-security/gws-google-platforms-phishing/index.html#app-scripts-redirect-phishing">'
).setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL)
}

Kwa mfano, ukifika https://script.google.com/macros/s/AKfycbwuLlzo0PUaT63G33MtE6TbGUNmTKXCK12o59RKC7WLkgBTyltaS3gYuH_ZscKQTJDC/exec utaona:

tip

Kumbuka kwamba onyo litaonekana wakati maudhui yanapoload ndani ya iframe.

App Scripts OAuth Phishing

Inawezekana kuunda App Scripts zilizounganishwa na hati ili kujaribu kupata ufikiaji wa token ya OAuth ya mwathirika, kwa maelezo zaidi angalia:

GWS - App Scripts

OAuth Apps Phishing

Mbinu zozote za hapo awali zinaweza kutumika kumfanya mtumiaji aingie kwenye Google OAuth application ambayo itakuwa inaomba mtumiaji baadhi ya ufikiaji. Ikiwa mtumiaji anaamini chanzo anaweza kuamini programu (hata kama inaomba ruhusa zenye mamlaka makubwa).

note

Kumbuka kwamba Google inaonyesha onyo mbaya linaloomba kwamba programu haitegemeiwi katika hali kadhaa na wasimamizi wa Workspace wanaweza hata kuzuia watu kukubali programu za OAuth.

Google inaruhusu kuunda programu ambazo zinaweza kuingiliana kwa niaba ya watumiaji na huduma mbalimbali za Google: Gmail, Drive, GCP...

Wakati wa kuunda programu ili kufanya kazi kwa niaba ya watumiaji wengine, mtengenezaji anahitaji kuunda OAuth app ndani ya GCP na kuonyesha maeneo (ruhusa) ambazo programu inahitaji ili kufikia data za watumiaji.
Wakati mtumiaji anataka kutumia hiyo programu, wata ombwa kukubali kwamba programu itakuwa na ufikiaji wa data zao zilizobainishwa katika maeneo.

Hii ni njia nzuri sana ya phish watumiaji wasio na ujuzi wa kiufundi kutumia programu zinazofikia taarifa nyeti kwa sababu wanaweza kutokuelewa matokeo. Hata hivyo, katika akaunti za mashirika, kuna njia za kuzuia hili kutokea.

Onyo la Programu Isiyothibitishwa

Kama ilivyotajwa, google kila wakati itaonyesha onyo kwa mtumiaji kukubali ruhusa wanazotoa kwa programu kwa niaba yao. Hata hivyo, ikiwa programu inachukuliwa kuwa hatari, google itaonyesha kwanza onyo linaloonyesha kwamba ni hatari na kuifanya iwe ngumu zaidi kwa mtumiaji kutoa ruhusa kwa programu.

Onyo hili linaonekana katika programu ambazo:

Zinatumia eneo lolote linaloweza kufikia data za kibinafsi (Gmail, Drive, GCP, BigQuery...)
Programu zenye watumiaji chini ya 100 (programu > 100 mchakato wa ukaguzi unahitajika pia kuzuia kuonyesha onyo la kutothibitishwa)

Maeneo ya Kuvutia

Hapa unaweza kupata orodha ya maeneo yote ya Google OAuth.

cloud-platform: Tazama na usimamie data zako katika huduma za Google Cloud Platform. Unaweza kujifanya kuwa mtumiaji katika GCP.
admin.directory.user.readonly: Tazama na pakua directory ya GSuite ya shirika lako. Pata majina, simu, URL za kalenda za watumiaji wote.

Kuunda OAuth App

Anza kuunda OAuth Client ID

Nenda https://console.cloud.google.com/apis/credentials/oauthclient na bonyeza kwenye kuunda skrini ya idhini.
Kisha, utaulizwa ikiwa aina ya mtumiaji ni ndani (kwa watu tu katika shirika lako) au nje. Chagua ile inayofaa mahitaji yako

Ndani inaweza kuwa ya kuvutia ikiwa tayari umepata mtumiaji wa shirika na unaunda programu hii ili kuwapiga wengine.

Toa jina kwa programu, barua pepe ya msaada (kumbuka kwamba unaweza kuweka barua pepe ya googlegroup ili kujaribu kujificha kidogo zaidi), logo, domain zilizoidhinishwa na barua pepe nyingine kwa sasisho.
Chagua maeneo ya OAuth.

Ukurasa huu umegawanywa katika ruhusa zisizo nyeti, ruhusa nyeti na ruhusa zilizozuiliwa. Kila wakati unapoongeza ruhusa mpya inaongezwa kwenye kundi lake. Kulingana na ruhusa zinazohitajika, onyo tofauti litaonekana kwa mtumiaji likionyesha jinsi ruhusa hizi zilivyo nyeti.
Zote admin.directory.user.readonly na cloud-platform ni ruhusa nyeti.

Ongeza watumiaji wa majaribio. Kadri hali ya programu inavyokuwa ya majaribio, ni watumiaji hawa pekee watakaoweza kufikia programu hiyo hivyo hakikisha ongeza barua pepe unayokusudia kuwapiga.

Sasa hebu tupate vyeti kwa programu ya wavuti kwa kutumia OAuth Client ID iliyoundwa awali:

Rudi https://console.cloud.google.com/apis/credentials/oauthclient, chaguo tofauti litaonekana wakati huu.
Chagua kuunda vyeti kwa programu ya Wavuti
Weka misingi ya Javascript na URIs za kurejelea zinazohitajika

Unaweza kuweka katika zote mbili kitu kama http://localhost:8000/callback kwa majaribio

Pata vyeti vya programu yako

Hatimaye, hebu kimbia programu ya wavuti ambayo itatumia vyeti vya programu ya OAuth. Unaweza kupata mfano katika https://github.com/carlospolop/gcp_oauth_phishing_example.

bash

git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"

Nenda kwenye http://localhost:8000 bonyeza kitufe cha Login with Google, utaonyeshwa ujumbe kama huu:

Programu itakuonyesha access and refresh token ambazo zinaweza kutumika kwa urahisi. Kwa maelezo zaidi kuhusu jinsi ya kutumia token hizi angalia:

GCP - Token Persistence

Kutumia `glcoud`

Inawezekana kufanya kitu kwa kutumia gcloud badala ya console ya wavuti, angalia:

GCP - ClientAuthConfig Privesc

Marejeleo

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch na Beau Bullock - OK Google, How do I Red Team GSuite?

tip