成千上万的组织使用 Slack 来帮助其员工进行沟通、协作和互动。许多 Slack 工作区都安装了应用程序或机器人,可用于自动执行 Slack 内的不同任务。这些机器人被单独授予权限,这些权限决定了机器人可以通过 Slack API 请求哪些任务。为了向 Slack API 进行身份验证,每个机器人都会分配一个以xoxb或xoxp开头的 api 令牌。这些令牌往往会在某处泄露。当这些令牌在红队演习期间被泄露时,正确使用它们可能会很麻烦。现在,EvilSlackbot可以自动化和简化该过程。您可以使用 EvilSlackbot 发送欺骗性的 Slack 消息、网络钓鱼链接、文件,并搜索在 Slack 中泄露的机密。
除了红队测试外,EvilSlackbot 的开发还考虑到了 Slack 网络钓鱼模拟。要使用EvilSlackbot进行 Slack 网络钓鱼练习,只需在 Slack 中创建一个机器人,为您的机器人提供预期测试所需的权限,并向EvilSlackbot提供您想要使用模拟网络钓鱼测试的员工电子邮件列表(链接、文件、欺骗消息)
usage: EvilSlackbot.py [-h] -t TOKEN [-sP] [-m] [-s] [-a] [-f FILE] [-e EMAIL][-cH CHANNEL] [-eL EMAIL_LIST] [-c] [-o OUTFILE] [-cL]options:-h, --help show this help message and exitRequired:-t TOKEN, --token TOKENSlack Oauth tokenAttacks:-sP, --spoof Spoof a Slack message, customizing your name, icon, etc(Requires -e,-eL, or -cH)-m, --message Send a message as the bot associated with your token(Requires -e,-eL, or -cH)-s, --search Search slack for secrets with a keyword-a, --attach Send a message containing a malicious attachment (Requires -fand -e,-eL, or -cH)Arguments:-f FILE, --file FILE Path to file attachment-e EMAIL, --email EMAILEmail of target-cH CHANNEL, --channel CHANNELTarget Slack Channel (Do not include #)-eL EMAIL_LIST, --email_list EMAIL_LISTPath to list of emails separated by newline-c, --check Lookup and display the permissions and available attacksassociated with your provided token.-o OUTFILE, --outfile OUTFILEOutfile to store search results-cL, --channel_list List all public Slack channels
根据与令牌关联的权限,EvilSlackbot 可以进行多种攻击。EvilSlackbot将自动检查您的令牌具有哪些权限,并显示这些权限以及您可以使用给定令牌执行的任何攻击。
Attacks:-sP, --spoof Spoof a Slack message, customizing your name, icon, etc (Requires -e,-eL, or -cH)-m, --message Send a message as the bot associated with your token (Requires -e,-eL, or -cH)-s, --search Search slack for secrets with a keyword-a, --attach Send a message containing a malicious attachment (Requires -f and -e,-eL, or -cH)
欺骗消息(-sP)
有了正确的令牌权限,EvilSlackbot允许您在模仿机器人名称和机器人照片的同时发送网络钓鱼消息。此攻击还需要目标的电子邮件地址 (-e) 、目标电子邮件列表 (-eL)或Slack 频道的名称 (-cH)。EvilSlackbot将使用这些参数来查找与提供的电子邮件或频道名称关联的用户的 SlackID。要自动化攻击,请使用电子邮件列表。
python3 EvilSlackbot.py -t <xoxb token> -sP -e <email address>python3 EvilSlackbot.py -t <xoxb token> -sP -eL <email list>python3 EvilSlackbot.py -t <xoxb token> -sP -cH <Channel name>
网络钓鱼邮件 (-m)
有了正确的令牌权限,EvilSlackbot允许您发送包含网络钓鱼链接的网络钓鱼消息。此攻击与欺骗攻击的不同之处在于,此方法将以与您提供的令牌关联的机器人的身份发送消息。您将无法选择发送网络钓鱼的机器人的名称或图像。此攻击还需要目标的电子邮件地址 (-e) 、目标电子邮件列表 (-eL)或 Slack 频道的名称(-cH)。EvilSlackbot将使用这些参数来查找与提供的电子邮件或频道名称关联的用户的 SlackID。要自动化攻击,请使用电子邮件列表。
python3 EvilSlackbot.py -t <xoxb token> -m -e <email address>python3 EvilSlackbot.py -t <xoxb token> -m -eL <email list>python3 EvilSlackbot.py -t <xoxb token> -m -cH <Channel name>
搜查(-s)
有了正确的令牌权限,EvilSlackbot允许您通过关键字搜索在 Slack 中搜索机密。目前,此攻击需要 xoxp 令牌,因为 xoxb 令牌无法获得在 Slack 中进行关键字搜索的适当权限。使用 -o 参数将搜索结果写入输出文件。
python3 EvilSlackbot.py -t <xoxp token> -s -o <outfile.txt>附件(-a)
有了正确的令牌权限,EvilSlackbot允许您发送文件附件。附件攻击需要您要发送的文件的路径 (-f) 。此攻击还需要目标的电子邮件地址 (-e) 、目标电子邮件列表 (-eL)或 Slack 频道的名称(-cH)。EvilSlackbot将使用这些参数查找与提供的电子邮件或频道名称关联的用户的 SlackID。要自动执行攻击,请使用电子邮件列表。
python3 EvilSlackbot.py -t <xoxb token> -a -f <path to file> -e <email address>python3 EvilSlackbot.py -t <xoxb token> -a -f <path to file> -eL <email list>python3 EvilSlackbot.py -t <xoxb token> -a -f <path to file> -cH <Channel name>
项目地址
https://github.com/Drew-Sec/EvilSlackbot
原文始发于微信公众号(TtTeam):钓鱼攻击 - EvilSlackbot
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论