Slack Jack — Slack 机器人令牌滥用:Slack 上的紫色组队练习
Slack Jack 是一种用于道德黑客和安全测试的工具。它允许您使用其令牌(例如 xoxb 或 xoxp)劫持 Slack 机器人,并根据机器人的权限执行各种活动。
所以今天,我们将用 Slack Jack 与 Slack 进行测试。该工具专为道德黑客和安全测试而设计,使我们能够使用其令牌劫持 Slack 机器人,并探索我们可以根据机器人的权限执行的各种活动。
好了,事不宜迟,让我们开始创建我们自己的 Slack 机器人来测试 Slack Jack。
创建具有适当权限的 Slack 机器人令牌。
要获取具有适当权限的 Slack 机器人令牌,请执行以下步骤:
-
转到 Slack API 应用程序页面 https://api.slack.com/apps。 -
登录到工作区
3. 点击 “Create an App” 按钮,选择 “from scratch” 选项,然后按照提示设置您的应用。
4. 指定应用程序名称和要在其中构建应用程序的组织。单击 Create app(创建应用程序)。
5. 创建应用程序后,您将进入应用程序的配置页面,其中将显示所有基本信息和其他设置。
*注意:敏感密钥/凭据是轮换的,因此如果您已经发现了一个,请不要高兴。
您还可以添加描述和应用程序图标。确保在添加详细信息后单击 Save changes。
6. 配置范围和权限:
-
导航到“OAuth & Permissions”选项卡。 -
在“Scopes”(范围)下,添加机器人将需要的必要机器人令牌范围。例如:
频道:读取 — 读取频道信息聊天:写入 — 以机器人身份发送消息 用户:读取 — 读取用户信息组:读取 — 读取组详细信息组:写入 — 在不同组中写入
您可以根据机器人需要执行的操作添加更多范围。
7. 将应用程序安装到工作区:
-
滚动到“OAuth & Permissions”页面的顶部,然后点击“Install App to Workspace”按钮。
-
按照提示使用所选范围授权您的应用程序。
8. 检索您的机器人令牌:
-
安装后,您将在“Workspace 的 OAuth 令牌”部分下看到“Bot User OAuth Access Token”。 -
复制此令牌并安全地存储它。这是您的 Slack 机器人令牌。
开发-
-
使用以下命令克隆存储库。
git clone https://github.com/adelapazborrero/slack_jack.git
2. 导航到存储库
3. 安装所需的 Go 依赖项并使用相应的命令构建工具 — go mod tidy 、 go build -o slackjack
4. 使用命令运行工具 — ./slackjack –help
5. 输入 Slack 机器人令牌以提取详细信息
6. 瞧!现在,我们可以访问 Slack 工作区。请随意探索该工具中的各种选项。例如,如果您想查看频道列表,只需选择选项 1 即可检索它。
工具积分 — https://github.com/adelapazborrero/slack_jack
感谢您花时间阅读这篇文章。我希望它对您有所帮助。请继续关注我们下一次会议的更多见解。下次再见,保持安全并保持好奇心!
原文始发于微信公众号(安全狗的自我修养):创建和黑客攻击 Slack 机器人:深入探讨 Slack Jack
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论