Translated ['src/pentesting-ci-cd/cloudflare-security/cloudflare-domains

This commit is contained in:
Translator
2025-01-11 19:15:01 +00:00
parent 5fdd9076c1
commit e8a3f0e46f
44 changed files with 2013 additions and 436 deletions
@@ -5,7 +5,7 @@
## Generic Phishing Methodology
{{#ref}}
https://book.hacktricks.xyz/generic-methodologies-and-resources/phishing-methodology
https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html
{{#endref}}
## Google Groups Phishing
@@ -23,14 +23,14 @@ Možda ćete moći da **započnete chat** sa osobom samo imajući njihovu email
<figure><img src="../../../images/image (6).png" alt=""><figcaption></figcaption></figure>
> [!TIP]
> **Međutim, u mom testiranju pozvani članovi nisu čak ni primili pozivnicu.**
> **Međutim, u mom testiranju pozvani članovi nisu ni primili pozivnicu.**
Možete proveriti kako je to funkcionisalo u prošlosti na: [https://www.youtube.com/watch?v=KTVHLolz6cE\&t=904s](https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s)
## Google Doc Phishing
U prošlosti je bilo moguće kreirati **naizgled legitimni dokument** i u komentaru **spomenuti neku email adresu (kao što je @user@gmail.com)**. Google **je poslao email toj adresi** obaveštavajući da su spomenuti u dokumentu.\
Danas to ne funkcioniše, ali ako **dajte žrtvi pristup dokumentu** Google će poslati email koji to označava. Ovo je poruka koja se pojavljuje kada spomenete nekoga:
Danas, to ne funkcioniše, ali ako **dajte žrtvi pristup dokumentu** Google će poslati email koji to označava. Ovo je poruka koja se pojavljuje kada nekoga spomenete:
<figure><img src="../../../images/image (7).png" alt=""><figcaption></figcaption></figure>
@@ -41,7 +41,7 @@ Danas to ne funkcioniše, ali ako **dajte žrtvi pristup dokumentu** Google će
Možete **kreirati kalendarski događaj** i dodati koliko god email adresa kompanije koju napadate imate. Zakazujte ovaj kalendarski događaj u **5 ili 15 minuta** od trenutnog vremena. Neka događaj izgleda legitimno i **stavite komentar i naslov koji ukazuje da treba da pročitaju nešto** (sa **phishing linkom**).
Ovo je upozorenje koje će se pojaviti u pretraživaču sa naslovom sastanka "Otpustanje ljudi", tako da biste mogli postaviti naslov koji više liči na phishing (i čak promeniti ime povezano sa vašom email adresom).
Ovo je upozorenje koje će se pojaviti u pretraživaču sa naslovom sastanka "Otpustiti ljude", tako da možete postaviti naslov koji više liči na phishing (i čak promeniti ime povezano sa vašom email adresom).
<figure><img src="../../../images/image (8).png" alt=""><figcaption></figcaption></figure>
@@ -54,11 +54,11 @@ Da bi izgledalo manje sumnjivo:
## App Scripts Redirect Phishing
Moguće je kreirati skriptu na [https://script.google.com/](https://script.google.com/) i **izložiti je kao web aplikaciju dostupnu svima** koja će koristiti legitimnu domenu **`script.google.com`**.\
Sa nekim kodom poput sledećeg, napadač bi mogao napraviti da skripta učita proizvoljan sadržaj na ovoj stranici bez prestanka pristupajući domeni:
Sa nekim kodom poput sledećeg, napadač bi mogao da učini da skripta učita proizvoljan sadržaj na ovoj stranici bez prestanka pristupajući domeni:
```javascript
function doGet() {
return HtmlService.createHtmlOutput(
'<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">'
'<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.wiki/en/pentesting-cloud/workspace-security/gws-google-platforms-phishing/index.html#app-scripts-redirect-phishing">'
).setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL)
}
```
@@ -79,17 +79,17 @@ gws-app-scripts.md
## OAuth Apps Phishing
Bilo koja od prethodnih tehnika može se koristiti da se korisnik natera da pristupi **Google OAuth aplikaciji** koja će **tražiti** od korisnika određeni **pristup**. Ako korisnik **veruje** **izvoru**, može **verovati** **aplikaciji** (čak i ako traži visoke privilegije).
Bilo koja od prethodnih tehnika može se koristiti da se korisnik natera da pristupi **Google OAuth aplikaciji** koja će **tražiti** od korisnika neka **prava**. Ako korisnik **veruje** **izvoru**, može **verovati** **aplikaciji** (čak i ako traži visoka privilegovana prava).
> [!NOTE]
> Imajte na umu da Google prikazuje ružnu poruku upozorenja da je aplikacija nepouzdana u nekoliko slučajeva, a Workspace administratori mogu čak sprečiti ljude da prihvate OAuth aplikacije.
> Imajte na umu da Google prikazuje ružnu poruku upozorenja da je aplikacija nepouzdana u nekoliko slučajeva, a Workspace administratori čak mogu sprečiti ljude da prihvate OAuth aplikacije.
**Google** omogućava kreiranje aplikacija koje mogu **interagovati u ime korisnika** sa nekoliko **Google servisa**: Gmail, Drive, GCP...
Kada se kreira aplikacija da **deluje u ime drugih korisnika**, programer treba da kreira **OAuth aplikaciju unutar GCP** i da označi opsege (dozvole) kojima aplikacija treba pristupiti podacima korisnika.\
Kada se kreira aplikacija da **deluje u ime drugih korisnika**, programer treba da kreira **OAuth aplikaciju unutar GCP** i da označi opsege (dozvole) koje aplikacija treba da pristupi podacima korisnika.\
Kada **korisnik** želi da **koristi** tu **aplikaciju**, biće **upitan** da **prihvati** da će aplikacija imati pristup njihovim podacima navedenim u opsezima.
Ovo je veoma primamljiv način da se **phish** netehnički korisnici u korišćenju **aplikacija koje pristupaju osetljivim informacijama** jer možda ne razumeju posledice. Međutim, u organizacijama postoje načini da se to spreči.
Ovo je veoma primamljiv način da se **phish** ne-tehnički korisnici u korišćenju **aplikacija koje pristupaju osetljivim informacijama** jer možda ne razumeju posledice. Međutim, u organizacijama postoje načini da se to spreči.
### Unverified App prompt
@@ -98,25 +98,25 @@ Kao što je pomenuto, Google će uvek prikazati **poruku korisniku da prihvati**
Ova poruka se pojavljuje u aplikacijama koje:
- Koriste bilo koji opseg koji može pristupiti privatnim podacima (Gmail, Drive, GCP, BigQuery...)
- Aplikacije sa manje od 100 korisnika (za aplikacije sa više od 100 korisnika, takođe je potreban proces pregleda da bi se prestalo sa prikazivanjem nepouzdane poruke)
- Aplikacije sa manje od 100 korisnika (za aplikacije sa više od 100 korisnika takođe je potreban proces pregleda da bi se prestalo sa prikazivanjem nepouzdane poruke)
### Interesting Scopes
[**Ovde**](https://developers.google.com/identity/protocols/oauth2/scopes) možete pronaći listu svih Google OAuth opsega.
- **cloud-platform**: Pregledajte i upravljajte svojim podacima širom **Google Cloud Platform** servisa. Možete se pretvarati da ste korisnik u GCP.
- **admin.directory.user.readonly**: Vidite i preuzmite direktorijum GSuite vaše organizacije. Dobijte imena, telefone, URL-ove kalendara svih korisnika.
- **admin.directory.user.readonly**: Vidite i preuzmite direktorijum vaše organizacije GSuite. Dobijte imena, telefone, URL-ove kalendara svih korisnika.
### Create an OAuth App
**Započnite kreiranje OAuth Client ID**
**Počnite sa kreiranjem OAuth Client ID**
1. Idite na [https://console.cloud.google.com/apis/credentials/oauthclient](https://console.cloud.google.com/apis/credentials/oauthclient) i kliknite na konfiguraciju ekrana za pristanak.
1. Idite na [https://console.cloud.google.com/apis/credentials/oauthclient](https://console.cloud.google.com/apis/credentials/oauthclient) i kliknite na konfigurišite ekran za pristanak.
2. Zatim, bićete upitani da li je **tip korisnika** **interni** (samo za ljude u vašoj organizaciji) ili **spoljašnji**. Izaberite onaj koji odgovara vašim potrebama
- Interni može biti zanimljiv ako ste već kompromitovali korisnika organizacije i kreirate ovu aplikaciju da biste phishingovali drugog.
3. Dajte **ime** aplikaciji, **email za podršku** (imajte na umu da možete postaviti googlegroup email da biste pokušali da se malo više anonimizujete), **logo**, **ovlašćene domene** i drugi **email** za **ažuriranja**.
- Interni može biti zanimljiv ako ste već kompromitovali korisnika organizacije i kreirate ovu aplikaciju da phishingujete drugog.
3. Dajte **ime** aplikaciji, **email za podršku** (imajte na umu da možete postaviti email googlegroup-a da biste pokušali da se malo više anonimno), **logo**, **ovlašćene domene** i drugi **email** za **ažuriranja**.
4. **Izaberite** **OAuth opsege**.
- Ova stranica je podeljena na neosetljive dozvole, osetljive dozvole i ograničene dozvole. Svaki put kada dodate novu dozvolu, ona se dodaje u svoju kategoriju. U zavisnosti od traženih dozvola, različite poruke će se pojaviti korisniku ukazujući na to koliko su te dozvole osetljive.
- Ova stranica je podeljena na neosetljive dozvole, osetljive dozvole i ograničene dozvole. Svaki put kada dodate novu dozvolu, ona se dodaje u svoju kategoriju. U zavisnosti od traženih dozvola, različite poruke će se pojaviti korisniku ukazujući koliko su te dozvole osetljive.
- I **`admin.directory.user.readonly`** i **`cloud-platform`** su osetljive dozvole.
5. **Dodajte test korisnike.** Dok je status aplikacije testiranje, samo će ovi korisnici moći da pristupe aplikaciji, pa se pobrinite da **dodate email koji ćete phishingovati**.
@@ -126,9 +126,9 @@ Sada da dobijemo **akreditiv za web aplikaciju** koristeći **prethodno kreirani
2. Izaberite da **kreirate akreditive za web aplikaciju**
3. Postavite potrebne **Javascript izvore** i **URI za preusmeravanje**
- Možete postaviti u oba nešto poput **`http://localhost:8000/callback`** za testiranje
4. Dobijte akreditive vaše aplikacije
4. Dobijte svoje akreditive aplikacije
Na kraju, hajde da **pokrenemo web aplikaciju koja će koristiti akreditive OAuth aplikacije**. Možete pronaći primer na [https://github.com/carlospolop/gcp_oauth_phishing_example](https://github.com/carlospolop/gcp_oauth_phishing_example).
Na kraju, hajde da **pokrenemo web aplikaciju koja će koristiti akreditive OAuth aplikacije**. Primer možete pronaći na [https://github.com/carlospolop/gcp_oauth_phishing_example](https://github.com/carlospolop/gcp_oauth_phishing_example).
```bash
git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
@@ -139,7 +139,7 @@ Idite na **`http://localhost:8000`**, kliknite na dugme Prijavite se sa Google-o
<figure><img src="../../../images/image (333).png" alt=""><figcaption></figcaption></figure>
Aplikacija će prikazati **token za pristup i osvežavanje** koji se može lako koristiti. Za više informacija o **kako koristiti ove tokene proverite**:
Aplikacija će prikazati **access i refresh token** koji se mogu lako koristiti. Za više informacija o **kako koristiti ove tokene proverite**:
{{#ref}}
../../gcp-security/gcp-persistence/gcp-non-svc-persistance.md