gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-26 20:54:14 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/gcp-security/gcp-to-workspace-pivoting

Browse Source
This commit is contained in:
Translator
2025-02-26 00:23:29 +00:00
parent d6676a3c50
commit 604b3e4b6b
2 changed files with 42 additions and 42 deletions
Download Patch File Download Diff File Expand all files Collapse all files

34
src/pentesting-cloud/workspace-security/gws-google-platforms-phishing/README.md
View File

@@ -39,22 +39,22 @@ https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-met
## Google Calendar Phishing
आप **एक कैलेंडर इवेंट** बना सकते हैं और जितने भी ईमेल पते हैं उन सभी को जोड़ सकते हैं जिनका आप हमला कर रहे हैं। इस कैलेंडर इवेंट को **वर्तमान समय से 5 या 15 मिनट** में शेड्यूल करें। इवेंट को वैध दिखाएं और **एक टिप्पणी और एक शीर्षक डालें जो यह संकेत करता है कि उन्हें कुछ पढ़ना है** (साथ में **फिशिंग लिंक**).
आप **एक कैलेंडर इवेंट** बना सकते हैं और जितने भी ईमेल पते हैं उन सभी को जोड़ सकते हैं जिनका आप हमला कर रहे हैं। इस कैलेंडर इवेंट को **वर्तमान समय से 5 या 15 मिनट** में शेड्यूल करें। इवेंट को वैध दिखाने के लिए बनाएं और **एक टिप्पणी और एक शीर्षक डालें जो यह संकेत कर कि उन्हें कुछ पढ़ना है** (साथ में **फिशिंग लिंक**).
यह वह चेतावनी है जो ब्राउज़र में "Firing People" शीर्षक के साथ दिखाई देगी, इसलिए आप एक अधिक फिशिंग जैसा शीर्षक सेट कर सकते हैं (और यहां तक कि अपने ईमेल से जुड़े नाम को भी बदल सकते हैं)।
यह वह चेतावनी है जो ब्राउज़र में "Firing People" मीटिंग शीर्षक के साथ दिखाई देगी, इसलिए आप एक अधिक फिशिंग जैसा शीर्षक सेट कर सकते हैं (और यहां तक कि अपने ईमेल से जुड़े नाम को भी बदल सकते हैं)।
<figure><img src="../../../images/image (8).png" alt=""><figcaption></figcaption></figure>
इसे कम संदिग्ध दिखाने के लिए:
- इसे इस तरह सेट करें कि **प्राप्तकर्ता अन्य आमंत्रित लोगों को न देख सकें**
- **ईवेंट के बारे में सूचित करने वाले ईमेल न भेजें**। फिर, लोग केवल 5 मिनट में एक बैठक के बारे में अपनी चेतावनी देखेंगे और उन्हें उस लिंक को पढ़ने की आवश्यकता ह
- स्पष्ट रूप से API का उपयोग करके आप सेट कर सकते हैं कि **लोगों ने** वेंट को **स्वीकृत** किया है और यहां तक कि उनके पक्ष में **टिप्पणियाँ भी बना सकते हैं**
- **ईवेंट के बारे में सूचनाएं न भेजें**। फिर, लोग केवल 5 मिनट में एक मीटिंग के बारे में अपनी चेतावनी देखेंगे और उन्हें उस लिंक को पढ़ने की आवश्यकता होगी
- स्पष्ट रूप से API का उपयोग करके आप **सत्य** सेट कर सकते हैं कि **लोगों ने** वेंट को **स्वीकृत** किया है और यहां तक कि उनके पक्ष में **टिप्पणियाँ भी बना सकते हैं**
## App Scripts Redirect Phishing
यह संभव है कि [https://script.google.com/](https://script.google.com/) में एक स्क्रिप्ट बनाई जाए और **इसे एक वेब एप्लिकेशन के रूप में उजागर किया जाए जो सभी के लिए सुलभ हो** जो वैध डोमेन **`script.google.com`** का उपयोग करेगा।\
कुछ कोड के साथ जैसे कि निम्नलिखित, एक हमलावर इस पृष्ठ में मनमाने सामग्री को लोड करने के लिए स्क्रिप्ट बना सकता है बिना डोमेन तक पहुंच को रोके:
इसके साथ कुछ कोड जैसे निम्नलिखित एक हमलावर को इस पृष्ठ में मनमाने सामग्री को लोड करने के लिए स्क्रिप्ट बनाने की अनुमति दे सकता है बिना डोमेन तक पहुंच को रोके:
```javascript
function doGet() {
return HtmlService.createHtmlOutput(
@@ -71,7 +71,7 @@ return HtmlService.createHtmlOutput(
## ऐप स्क्रिप्ट OAuth फ़िशिंग
ऐसे ऐप स्क्रिप्ट बनाना संभव है जो दस्तावेज़ों से जुड़े होते हैं ताकि पीड़ित के OAuth टोकन तक पहुँच प्राप्त करने की कोशिश की जा सके, अधिक जानकारी के लिए देखें:
ऐप स्क्रिप्ट बनाना संभव है जो दस्तावेज़ों से जुड़े होते हैं ताकि पीड़ित के OAuth टोकन तक पहुँच प्राप्त करने की कोशिश की जा सके, अधिक जानकारी के लिए देखें:
{{#ref}}
gws-app-scripts.md
@@ -79,26 +79,26 @@ gws-app-scripts.md
## OAuth ऐप्स फ़िशिंग
पिछले किसी भी तकनीक का उपयोग उपयोगकर्ता को एक **Google OAuth एप्लिकेशन** तक पहुँचने के लिए किया जा सकता है जो उपयोगकर्ता से कुछ **एक्सेस** **अनुरोध** करेगा। यदि उपयोगकर्ता **स्रोत** पर **विश्वास** करता है तो वह **प्लिकेशन** पर भी **विश्वास** कर सकता है (भले ही यह उच्च विशेषाधिकार प्राप्त अनुमतियों के लिए पूछ रहा हो)।
पिछले किसी भी तकनीक का उपयोग उपयोगकर्ता को एक **Google OAuth एप्लिकेशन** तक पहुँचने के लिए किया जा सकता है जो उपयोगकर्ता से कुछ **एक्सेस** **अनुरोध** करेगा। यदि उपयोगकर्ता **स्रोत** पर **विश्वास** करता है तो वह **प्लिकेशन** पर भी **विश्वास** कर सकता है (भले ही यह उच्च विशेषाधिकार प्राप्त अनुमतियों के लिए पूछ रहा हो)।
> [!NOTE]
> ध्यान दें कि Google कई मामलों में एक भद्दा प्रॉम्प्ट प्रस्तुत करता है जो चेतावनी देता है कि एप्लिकेशन अविश्वसनीय है और Workspace प्रशासक यहां तक कि लोगों को OAuth एप्लिकेशन स्वीकार करने से रोक सकते हैं।
**Google** ऐसे एप्लिकेशन बनाने की अनुमति देता है जो कई **Google सेवाओं** के साथ **उपयोगकर्ताओं की ओर से बातचीत** कर सकते है: Gmail, Drive, GCP...
**Google** उपयोगकर्ताओं की ओर से कई **Google सेवाओं** के साथ **संवाद करने** के लिए एप्लिकेशन बनाने की अनुमति देता है: Gmail, Drive, GCP...
जब किसी एप्लिकेशन को **अन्य उपयोगकर्ताओं की ओर से कार्य करने** के लिए बनाया जाता है, तो डेवलपर को **GCP के अंदर एक OAuth ऐप** बनाना होगा और उन स्कोप (अनुमतियों) को निर्दिष्ट करना होगा जिनकी ऐप को उपयोगकर्ताओं के डेटा तक पहुँचने की आवश्यकता है।\
जब एक **उपयोगकर्ता** उस **प्लिकेशन** का **उपयोग** करना चाहता है, तो उन्हें **स्वीकृति** देने के लिए **प्रॉम्प्ट** किया जाएगा कि एप्लिकेशन उनके डेटा तक पहुँच प्राप्त करेगा जो स्कोप में निर्दिष्ट है।
जब एक **उपयोगकर्ता** उस **प्लिकेशन** का **उपयोग** करना चाहता है, तो उन्हें **स्वीकृति** देने के लिए **प्रॉम्प्ट** किया जाएगा कि एप्लिकेशन उनके डेटा तक पहुँच प्राप्त करेगा जो स्कोप में निर्दिष्ट है।
यह **फिशिंग** गैर-तकनीकी उपयोगकर्ताओं को **संवेदनशील जानकारी तक पहुँचने वाले एप्लिकेशन** का उपयोग करने के लिए एक बहुत ही आकर्षक तरीका है क्योंकि वे परिणामों को नहीं समझ सकते। हालाँकि, संगठनों के खातों में, इसे होने से रोकने के तरीके हैं।
### अविश्वसनीय ऐप प्रॉम्प्ट
जैसा कि उल्लेख किया गया था, Google हमेशा उपयोगकर्ता को **अनुमतियों को स्वीकार करने के लिए प्रॉम्प्ट** करेगा जो वे प्लिकेशन को अपनी ओर से दे रहे हैं। हालाँकि, यदि एप्लिकेशन को **खतरनाक** माना जाता है, तो Google पहले **प्रॉम्प्ट** दिखाएगा जो यह संकेत देगा कि यह **खतरनाक** है और उपयोगकर्ता के लिए ऐप को अनुमतियाँ देने में **अधिक कठिनाई** पैदा करेगा।
जैसा कि उल्लेख किया गया था, Google हमेशा उपयोगकर्ता को **अनुमतियों को स्वीकार करने के लिए प्रॉम्प्ट** करेगा जो वे प्लिकेशन को अपनी ओर से दे रहे हैं। हालाँकि, यदि एप्लिकेशन को **खतरनाक** माना जाता है, तो Google पहले **प्रॉम्प्ट** दिखाएगा जो यह संकेत देगा कि यह **खतरनाक** है और उपयोगकर्ता के लिए ऐप को अनुमतियाँ देने में **अधिक कठिनाई** पैदा करेगा।
यह प्रॉम्प्ट उन ऐप्स में दिखाई देता है:
- कोई भी स्कोप जो निजी डेटा (Gmail, Drive, GCP, BigQuery...) तक पहुँच सकता है
- 100 से कम उपयोगकर्ताओं वाले ऐप्स (100 से अधिक उपयोगकर्ताओं वाले ऐप्स के लिए अविश्वसनीय प्रॉम्प्ट दिखाना रोकने के लिए एक समीक्षा प्रक्रिया भी आवश्यक है)
- 100 से कम उपयोगकर्ताओं वाले ऐप्स (100 से अधिक उपयोगकर्ताओं वाले ऐप्स के लिए एक समीक्षा प्रक्रिया भी आवश्यक है ताकि अविश्वसनीय प्रॉम्प्ट दिखाना बंद किया जा सके)
### दिलचस्प स्कोप
@@ -113,12 +113,12 @@ gws-app-scripts.md
1. [https://console.cloud.google.com/apis/credentials/oauthclient](https://console.cloud.google.com/apis/credentials/oauthclient) पर जाएं और सहमति स्क्रीन को कॉन्फ़िगर करने पर क्लिक करें।
2. फिर, आपसे पूछा जाएगा कि **उपयोगकर्ता प्रकार** **आंतरिक** (केवल आपके संगठन के लोगों के लिए) है या **बाहरी**। उस विकल्प का चयन करें जो आपकी आवश्यकताओं के अनुसार हो
- आंतरिक तब दिलचस्प हो सकता है जब आपने पहले ही संगठन के एक उपयोगकर्ता को समझौता कर लिया है और आप दूसरे को फिश करने के लिए यह ऐप बना रहे हैं।
3. ऐप को एक **नाम** दें, एक **समर्थन ईमेल** (ध्यान दें कि आप खुद को थोड़ा अधिक गुमनाम बनाने के लिए एक गूगल ग्रुप ईमेल सेट कर सकते हैं), एक **लोगो**, **अधिकृत डोमेन** और **अपडेट्स** के लिए एक और **ईमेल**
- आंतरिक तब दिलचस्प हो सकता है जब आपने पहले ही संगठन के एक उपयोगकर्ता को समझौता कर लिया है और आप इस ऐप को दूसरे को फिश करने के लिए बना रहे हैं।
3. ऐप को एक **नाम** दें, एक **समर्थन ईमेल** (ध्यान दें कि आप खुद को थोड़ा और अनाम करने के लिए एक गूगल ग्रुप ईमेल सेट कर सकते हैं), एक **लोगो**, **अधिकृत डोमेन** और **अपडेट्स** के लिए एक और **ईमेल** दें
4. **OAuth स्कोप** का **चयन** करें।
- यह पृष्ठ गैर-संवेदनशील अनुमतियों, संवेदनशील अनुमतियों और प्रतिबंधित अनुमतियों में विभाजित है। हर बार जब आप एक नई अनुमति जोड़ते हैं, तो यह उसकी श्रेणी में जोड़ी जाती है। अनुरोधित अनुमतियों के आधार पर उपयोगकर्ता को विभिन्न प्रॉम्प्ट दिखाई देंगे जो यह संकेत देते हैं कि ये अनुमतियाँ कितनी संवेदनशील हैं।
- दोनों **`admin.directory.user.readonly`** और **`cloud-platform`** संवेदनशील अनुमतियाँ हैं।
5. **परीक्षण उपयोगकर्ताओं को जोड़ें।** जब तक ऐप की स्थिति परीक्षण में है, केवल ये उपयोगकर्ता ऐप तक पहुँच पाने में सक्षम होंगे इसलिए सुनिश्चित करें कि **उस ईमेल को जोड़ें जिसे आप फिश करने जा रहे हैं**
5. **परीक्षण उपयोगकर्ताओं को जोड़ें।** जब तक ऐप की स्थिति परीक्षण में है, केवल ये उपयोगकर्ता ऐप तक पहुँचने में सक्षम होंगे इसलिए सुनिश्चित करें कि **उस ईमेल को जोड़ें जिसे आप फिश करने जा रहे हैं**
अब हम **पिछले बनाए गए OAuth क्लाइंट आईडी** का उपयोग करके **वेब एप्लिकेशन के लिए क्रेडेंशियल्स प्राप्त करें**:
@@ -135,14 +135,14 @@ cd gcp_oauth_phishing_example
pip install flask requests google-auth-oauthlib
python3 app.py --client-id "<client_id>" --client-secret "<client_secret>"
```
**`http://localhost:8000`** पर जाएं, Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का एक संदेश **प्रदर्शित** किया जाएगा:
**`http://localhost:8000`** पर जाएं और Google के साथ लॉगिन बटन पर क्लिक करें, आपको इस तरह का एक संदेश **प्रदर्शित** किया जाएगा:
<figure><img src="../../../images/image (333).png" alt=""><figcaption></figcaption></figure>
ऐप्लिकेशन **एक्सेस और रिफ्रेश टोकन** दिखाएगा जिसे आसानी से उपयोग किया जा सकता है। **इन टोकनों का उपयोग कैसे करें, इसके बारे में अधिक जानकारी के लिए देखें**:
ऐप्लिकेशन **एक्सेस और रिफ्रेश टोकन** दिखाएगा जिसे आसानी से उपयोग किया जा सकता है। **इन टोकनों का उपयोग कैसे करें, इसक अधिक जानकारी के लिए देखें**:
{{#ref}}
../../gcp-security/gcp-persistence/gcp-non-svc-persistance.md
../../gcp-security/gcp-persistence/gcp-non-svc-persistence.md
{{#endref}}
#### `glcoud` का उपयोग करना