gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-14 13:56:30 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-ci-cd/cloudflare-security/cloudflare-domains

Browse Source
This commit is contained in:
Translator
2025-01-11 19:16:44 +00:00
parent 9f75e84afc
commit ecf5b2bb87
44 changed files with 1890 additions and 318 deletions
Download Patch File Download Diff File Expand all files Collapse all files

50
src/pentesting-cloud/workspace-security/gws-google-platforms-phishing/README.md
View File

@@ -5,12 +5,12 @@
## Metodología Genérica de Phishing
{{#ref}}
https://book.hacktricks.xyz/generic-methodologies-and-resources/phishing-methodology
https://book.hacktricks.wiki/en/generic-methodologies-and-resources/phishing-methodology/index.html
{{#endref}}
## Phishing en Google Groups
Aparentemente, por defecto, en workspace los miembros [**pueden crear grupos**](https://groups.google.com/all-groups) **y invitar personas a ellos**. Luego puedes modificar el correo que se enviará al usuario **agregando algunos enlaces.** El **correo vendrá de una dirección de google**, por lo que parecerá **legítimo** y la gente podría hacer clic en el enlace.
Aparentemente, por defecto, en workspace los miembros [**pueden crear grupos**](https://groups.google.com/all-groups) **y invitar a personas a ellos**. Luego puedes modificar el correo que se enviará al usuario **agregando algunos enlaces.** El **correo vendrá de una dirección de google**, por lo que parecerá **legítimo** y la gente podría hacer clic en el enlace.
También es posible establecer la dirección **FROM** como el **correo del grupo de Google** para enviar **más correos a los usuarios dentro del grupo**, como en la siguiente imagen donde se creó el grupo **`google--support@googlegroups.com`** y se **envió un correo a todos los miembros** del grupo (que fueron añadidos sin ningún consentimiento)
@@ -23,14 +23,14 @@ Puedes **iniciar un chat** con una persona solo teniendo su dirección de correo
<figure><img src="../../../images/image (6).png" alt=""><figcaption></figcaption></figure>
> [!TIP]
> **Sin embargo, en mis pruebas, los miembros invitados ni siquiera recibieron una invitación.**
> **Sin embargo, en mis pruebas los miembros invitados ni siquiera recibieron una invitación.**
Puedes verificar cómo funcionó esto en el pasado en: [https://www.youtube.com/watch?v=KTVHLolz6cE\&t=904s](https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s)
Puedes ver cómo funcionó esto en el pasado en: [https://www.youtube.com/watch?v=KTVHLolz6cE\&t=904s](https://www.youtube.com/watch?v=KTVHLolz6cE&t=904s)
## Phishing en Google Docs
En el pasado era posible crear un **documento aparentemente legítimo** y en un comentario **mencionar algún correo (como @user@gmail.com)**. Google **enviaba un correo a esa dirección de correo** notificando que fueron mencionados en el documento.\
Hoy en día, esto no funciona, pero si **le das al correo de la víctima acceso al documento**, Google enviará un correo indicando eso. Este es el mensaje que aparece cuando mencionas a alguien:
Hoy en día, esto no funciona, pero si **le das al correo de la víctima acceso al documento** Google enviará un correo indicando eso. Este es el mensaje que aparece cuando mencionas a alguien:
<figure><img src="../../../images/image (7).png" alt=""><figcaption></figcaption></figure>
@@ -41,7 +41,7 @@ Hoy en día, esto no funciona, pero si **le das al correo de la víctima acceso
Puedes **crear un evento de calendario** y agregar tantas direcciones de correo de la empresa que estás atacando como tengas. Programa este evento de calendario en **5 o 15 min** desde el tiempo actual. Haz que el evento parezca legítimo y **pon un comentario y un título indicando que necesitan leer algo** (con el **enlace de phishing**).
Esta es la alerta que aparecerá en el navegador con un título de reunión "Despedir Personas", por lo que podrías establecer un título más parecido a phishing (e incluso cambiar el nombre asociado con tu correo).
Esta es la alerta que aparecerá en el navegador con un título de reunión "Despedir Personas", por lo que podrías establecer un título más parecido al phishing (e incluso cambiar el nombre asociado con tu correo).
<figure><img src="../../../images/image (8).png" alt=""><figcaption></figcaption></figure>
@@ -51,14 +51,14 @@ Para que parezca menos sospechoso:
- **NO envíes correos notificando sobre el evento**. Entonces, las personas solo verán su advertencia sobre una reunión en 5 minutos y que necesitan leer ese enlace.
- Aparentemente, usando la API puedes establecer en **True** que **las personas** han **aceptado** el evento e incluso crear **comentarios en su nombre**.
## Phishing de Redirección con App Scripts
## Phishing de Redirección con Scripts de Apps
Es posible crear un script en [https://script.google.com/](https://script.google.com/) y **exponerlo como una aplicación web accesible por todos** que usará el dominio legítimo **`script.google.com`**.\
Con algún código como el siguiente, un atacante podría hacer que el script cargue contenido arbitrario en esta página sin dejar de acceder al dominio:
```javascript
function doGet() {
return HtmlService.createHtmlOutput(
'<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.xyz/pentesting-cloud/workspace-security/gws-google-platforms-phishing#app-scripts-redirect-phishing">'
'<meta http-equiv="refresh" content="0;url=https://cloud.hacktricks.wiki/en/pentesting-cloud/workspace-security/gws-google-platforms-phishing/index.html#app-scripts-redirect-phishing">'
).setXFrameOptionsMode(HtmlService.XFrameOptionsMode.ALLOWALL)
}
```
@@ -69,27 +69,27 @@ Por ejemplo, al acceder a [https://script.google.com/macros/s/AKfycbwuLlzo0PUaT6
> [!TIP]
> Ten en cuenta que aparecerá una advertencia a medida que se cargue el contenido dentro de un iframe.
## Phishing de App Scripts OAuth
## Phishing de OAuth de App Scripts
Es posible crear App Scripts adjuntos a documentos para intentar obtener acceso al token OAuth de una víctima, para más información consulta:
Es posible crear App Scripts adjuntos a documentos para intentar obtener acceso al token de OAuth de una víctima, para más información consulta:
{{#ref}}
gws-app-scripts.md
{{#endref}}
## Phishing de Apps OAuth
## Phishing de Apps de OAuth
Cualquiera de las técnicas anteriores podría usarse para hacer que el usuario acceda a una **aplicación OAuth de Google** que **solicitará** al usuario algún **acceso**. Si el usuario **confía** en la **fuente**, podría **confiar** en la **aplicación** (incluso si está pidiendo permisos de alto privilegio).
Cualquiera de las técnicas anteriores podría usarse para hacer que el usuario acceda a una **aplicación de Google OAuth** que **solicitará** al usuario algún **acceso**. Si el usuario **confía** en la **fuente**, podría **confiar** en la **aplicación** (incluso si está pidiendo permisos de alto privilegio).
> [!NOTE]
> Ten en cuenta que Google presenta un aviso poco atractivo advirtiendo que la aplicación no es de confianza en varios casos y los administradores de Workspace incluso pueden prevenir que las personas acepten aplicaciones OAuth.
> Ten en cuenta que Google presenta un aviso poco atractivo advirtiendo que la aplicación no es de confianza en varios casos y los administradores de Workspace incluso pueden prevenir que las personas acepten aplicaciones de OAuth.
**Google** permite crear aplicaciones que pueden **interactuar en nombre de los usuarios** con varios **servicios de Google**: Gmail, Drive, GCP...
Al crear una aplicación para **actuar en nombre de otros usuarios**, el desarrollador necesita crear una **aplicación OAuth dentro de GCP** e indicar los scopes (permisos) que la aplicación necesita para acceder a los datos de los usuarios.\
Al crear una aplicación para **actuar en nombre de otros usuarios**, el desarrollador necesita crear una **aplicación de OAuth dentro de GCP** e indicar los scopes (permisos) que la aplicación necesita para acceder a los datos de los usuarios.\
Cuando un **usuario** quiere **usar** esa **aplicación**, se le **pedirá** que **acepte** que la aplicación tendrá acceso a sus datos especificados en los scopes.
Esta es una forma muy atractiva de **phishing** a usuarios no técnicos para que usen **aplicaciones que acceden a información sensible** porque pueden no entender las consecuencias. Sin embargo, en cuentas de organizaciones, hay formas de prevenir que esto suceda.
Esta es una forma muy atractiva de **phishing** a usuarios no técnicos para que usen **aplicaciones que acceden a información sensible** porque podrían no entender las consecuencias. Sin embargo, en cuentas de organizaciones, hay formas de prevenir que esto ocurra.
### Aviso de Aplicación No Verificada
@@ -97,30 +97,30 @@ Como se mencionó, Google siempre presentará un **aviso al usuario para aceptar
Este aviso aparece en aplicaciones que:
- Usan cualquier scope que puede acceder a datos privados (Gmail, Drive, GCP, BigQuery...)
- Aplicaciones con menos de 100 usuarios (aplicaciones > 100 también necesitan un proceso de revisión para dejar de mostrar el aviso de no verificada)
- Usan cualquier scope que pueda acceder a datos privados (Gmail, Drive, GCP, BigQuery...)
- Aplicaciones con menos de 100 usuarios (para aplicaciones > 100 también se necesita un proceso de revisión para dejar de mostrar el aviso de no verificada)
### Scopes Interesantes
[**Aquí**](https://developers.google.com/identity/protocols/oauth2/scopes) puedes encontrar una lista de todos los scopes de OAuth de Google.
[**Aquí**](https://developers.google.com/identity/protocols/oauth2/scopes) puedes encontrar una lista de todos los scopes de Google OAuth.
- **cloud-platform**: Ver y gestionar tus datos en los servicios de **Google Cloud Platform**. Puedes suplantar al usuario en GCP.
- **admin.directory.user.readonly**: Ver y descargar el directorio de GSuite de tu organización. Obtener nombres, teléfonos, URLs de calendario de todos los usuarios.
- **admin.directory.user.readonly**: Ver y descargar el directorio de GSuite de tu organización. Obtener nombres, teléfonos, URLs de calendarios de todos los usuarios.
### Crear una Aplicación OAuth
### Crear una Aplicación de OAuth
**Comienza creando un ID de Cliente OAuth**
**Comienza creando un ID de Cliente de OAuth**
1. Ve a [https://console.cloud.google.com/apis/credentials/oauthclient](https://console.cloud.google.com/apis/credentials/oauthclient) y haz clic en configurar la pantalla de consentimiento.
2. Luego, se te preguntará si el **tipo de usuario** es **interno** (solo para personas en tu organización) o **externo**. Selecciona el que se ajuste a tus necesidades.
- Interno puede ser interesante si ya has comprometido a un usuario de la organización y estás creando esta aplicación para phishing a otro.
- Interno podría ser interesante si ya has comprometido a un usuario de la organización y estás creando esta aplicación para phishing a otro.
3. Da un **nombre** a la aplicación, un **correo electrónico de soporte** (ten en cuenta que puedes establecer un correo electrónico de grupo de Google para intentar anonimizarte un poco más), un **logo**, **dominios autorizados** y otro **correo electrónico** para **actualizaciones**.
4. **Selecciona** los **scopes de OAuth**.
- Esta página está dividida en permisos no sensibles, permisos sensibles y permisos restringidos. Cada vez que agregas un nuevo permiso, se añade a su categoría. Dependiendo de los permisos solicitados, aparecerán diferentes avisos al usuario indicando cuán sensibles son estos permisos.
- Tanto **`admin.directory.user.readonly`** como **`cloud-platform`** son permisos sensibles.
5. **Agrega los usuarios de prueba.** Mientras el estado de la aplicación sea de prueba, solo estos usuarios podrán acceder a la aplicación, así que asegúrate de **agregar el correo electrónico que vas a estar phishing**.
Ahora obtengamos **credenciales para una aplicación web** usando el **ID de Cliente OAuth creado previamente**:
Ahora obtengamos **credenciales para una aplicación web** usando el **ID de Cliente de OAuth previamente creado**:
1. Regresa a [https://console.cloud.google.com/apis/credentials/oauthclient](https://console.cloud.google.com/apis/credentials/oauthclient), esta vez aparecerá una opción diferente.
2. Selecciona **crear credenciales para una aplicación web**.
@@ -128,7 +128,7 @@ Ahora obtengamos **credenciales para una aplicación web** usando el **ID de Cli
- Puedes establecer en ambos algo como **`http://localhost:8000/callback`** para pruebas.
4. Obtén las **credenciales** de tu aplicación.
Finalmente, ejecutemos **una aplicación web que usará las credenciales de la aplicación OAuth**. Puedes encontrar un ejemplo en [https://github.com/carlospolop/gcp_oauth_phishing_example](https://github.com/carlospolop/gcp_oauth_phishing_example).
Finalmente, ejecutemos **una aplicación web que usará las credenciales de la aplicación de OAuth**. Puedes encontrar un ejemplo en [https://github.com/carlospolop/gcp_oauth_phishing_example](https://github.com/carlospolop/gcp_oauth_phishing_example).
```bash
git clone ttps://github.com/carlospolop/gcp_oauth_phishing_example
cd gcp_oauth_phishing_example
@@ -156,6 +156,6 @@ Es posible hacer algo usando gcloud en lugar de la consola web, consulta:
## Referencias
- [https://www.youtube-nocookie.com/embed/6AsVUS79gLw](https://www.youtube-nocookie.com/embed/6AsVUS79gLw) - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
- [https://www.youtube.com/watch?v=KTVHLolz6cE](https://www.youtube.com/watch?v=KTVHLolz6cE) - Mike Felch y Beau Bullock - OK Google, ¿Cómo hago Red Team GSuite?
- [https://www.youtube.com/watch?v=KTVHLolz6cE](https://www.youtube.com/watch?v=KTVHLolz6cE) - Mike Felch y Beau Bullock - OK Google, ¿Cómo hago un Red Team en GSuite?
{{#include ../../../banners/hacktricks-training.md}}