GWS - Post Exploitation
Last updated
Last updated
Standaard kan 'n groep in Workspace vrylik toegang verkry deur enige lid van die organisasie. Workspace maak dit ook moontlik om toestemming aan groepe te verleen (selfs GCP-toestemmings), dus as groepe bygevoeg kan word en hulle ekstra toestemmings het, kan 'n aanvaller daardie pad misbruik om voorregte te verhoog.
Jy het moontlik toegang tot die konsole nodig om by groepe aan te sluit wat deur enige iemand in die organisasie toegelaat word. Kyk na groepinligting in https://groups.google.com/all-groups.
As jy daarin geslaag het om 'n sessie van 'n Google-gebruiker te kompromitteer, kan jy vanaf https://groups.google.com/all-groups die geskiedenis van e-posse sien wat na die e-posgroepe gestuur is waarvan die gebruiker lid is, en jy mag geloofsbriewe of ander sensitiewe data vind.
As jy 'n sessie binne die slagoffer se Google-rekening het, kan jy alles aflaai wat Google oor daardie rekening weet vanaf https://takeout.google.com
As 'n organisasie Google Vault geaktiveer het, kan jy moontlik toegang hê tot https://vault.google.com en alle inligting aflaai.
Vanaf https://contacts.google.com kan jy al die kontakte van die gebruiker aflaai.
In https://cloudsearch.google.com/ kan jy deur alle Workspace-inhoud (e-pos, aandryf, webwerwe...) wat 'n gebruiker toegang tot het, soek. Ideaal om vinnig sensitiewe inligting te vind.
In https://mail.google.com/chat kan jy toegang verkry tot 'n Google Chat, en jy mag sensitiewe inligting in die gesprekke vind (as daar enige is).
Wanneer jy 'n dokument deel, kan jy die mense spesifiseer wat dit een vir een kan toegang gee, dit deel met jou hele maatskappy (of met sekere groepe) deur 'n skakel te genereer.
Wanneer jy 'n dokument deel, kan jy in die gevorderde instelling ook mense toelaat om vir hierdie lêer te soek (standaard is dit uitgeschakel). Dit is egter belangrik om daarop te let dat sodra gebruikers 'n dokument sien, dit deur hulle soekbaar is.
Vir eenvoudigheid sal die meeste mense 'n skakel genereer en deel in plaas daarvan om die mense wat toegang tot die dokument kan verkry een vir een by te voeg.
Voorgestelde maniere om al die dokumente te vind:
Soek in interne gesprekke, forums...
Spider bekende dokumente deur te soek na verwysings na ander dokumente. Jy kan dit doen binne 'n App Script met PaperChaser
In https://keep.google.com/ kan jy die notas van die gebruiker sien, sensitiewe inligting kan hier bewaar word.
In https://script.google.com/ kan jy die APP Scripts van die gebruiker vind.
In https://admin.google.com/, kan jy moontlik die Workspace-instellings van die hele organisasie wysig as jy genoeg toestemmings het.
Jy kan ook e-posse vind deur deur al die gebruiker se faktuur e-posse te soek in https://admin.google.com/ac/emaillogsearch
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch en Beau Bullock - OK Google, How do I Red Team GSuite?