GWS - Post Exploitation
Google Groups Privesc
Por defecto en workspace un grupo puede ser accedido libremente por cualquier miembro de la organización. Workspace también permite otorgar permisos a grupos (incluso permisos de GCP), así que si se pueden unir a grupos y tienen permisos adicionales, un atacante puede abusar de ese camino para escalar privilegios.
Potencialmente necesitas acceso a la consola para unirte a grupos que permiten ser unidos por cualquier persona en la org. Revisa la información de los grupos en https://groups.google.com/all-groups.
Acceso a la información de Grupos de Mail
Si lograste comprometer una sesión de usuario de Google, desde https://groups.google.com/all-groups puedes ver el historial de correos enviados a los grupos de correo de los que el usuario es miembro, y podrías encontrar credenciales u otros datos sensibles.
GCP <--> GWS Pivoting
Takeout - Descarga Todo lo que Google Sabe sobre una cuenta
Si tienes una sesión dentro de la cuenta de Google de la víctima puedes descargar todo lo que Google guarda sobre esa cuenta desde https://takeout.google.com
Vault - Descarga todos los datos de Workspace de los usuarios
Si una organización tiene Google Vault habilitado, podrías acceder a https://vault.google.com y descargar toda la información.
Descarga de Contactos
Desde https://contacts.google.com puedes descargar todos los contactos del usuario.
Cloudsearch
En https://cloudsearch.google.com/ puedes buscar a través de todo el contenido de Workspace (correo, drive, sitios...) al que un usuario tiene acceso. Ideal para encontrar rápidamente información sensible.
Google Chat
En https://mail.google.com/chat puedes acceder a un Chat de Google, y podrías encontrar información sensible en las conversaciones (si las hay).
Minería de Google Drive
Al compartir un documento puedes especificar las personas que pueden acceder a él una por una, compartirlo con toda tu empresa (o con algunos grupos específicos) generando un enlace.
Al compartir un documento, en la configuración avanzada también puedes permitir que las personas busquen este archivo (por defecto esto está deshabilitado). Sin embargo, es importante notar que una vez que los usuarios ven un documento, este es buscable por ellos.
Por simplicidad, la mayoría de las personas generarán y compartirán un enlace en lugar de agregar a las personas que pueden acceder al documento una por una.
Algunas formas propuestas para encontrar todos los documentos:
Buscar en chat interno, foros...
Rastrear documentos conocidos buscando referencias a otros documentos. Puedes hacer esto dentro de un App Script con PaperChaser
Keep Notes
En https://keep.google.com/ puedes acceder a las notas del usuario, información sensible podría estar guardada aquí.
Modificar App Scripts
En https://script.google.com/ puedes encontrar los APP Scripts del usuario.
Administrar Workspace
En https://admin.google.com/, podrías ser capaz de modificar la configuración de Workspace de toda la organización si tienes suficientes permisos.
También puedes encontrar correos buscando a través de todas las facturas del usuario en https://admin.google.com/ac/emaillogsearch
Referencias
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch y Beau Bullock - OK Google, ¿Cómo hago Red Team en GSuite?
Last updated