GWS - Post Exploitation

Google Groups Privesc

Por defecto en workspace un grupo puede ser accedido libremente por cualquier miembro de la organización. Workspace también permite otorgar permisos a grupos (incluso permisos de GCP), así que si se pueden unir a grupos y tienen permisos adicionales, un atacante puede abusar de ese camino para escalar privilegios.

Potencialmente necesitas acceso a la consola para unirte a grupos que permiten ser unidos por cualquier persona en la org. Revisa la información de los grupos en https://groups.google.com/all-groups.

Acceso a la información de Grupos de Mail

Si lograste comprometer una sesión de usuario de Google, desde https://groups.google.com/all-groups puedes ver el historial de correos enviados a los grupos de correo de los que el usuario es miembro, y podrías encontrar credenciales u otros datos sensibles.

GCP <--> GWS Pivoting

Takeout - Descarga Todo lo que Google Sabe sobre una cuenta

Si tienes una sesión dentro de la cuenta de Google de la víctima puedes descargar todo lo que Google guarda sobre esa cuenta desde https://takeout.google.com

Vault - Descarga todos los datos de Workspace de los usuarios

Si una organización tiene Google Vault habilitado, podrías acceder a https://vault.google.com y descargar toda la información.

Descarga de Contactos

Desde https://contacts.google.com puedes descargar todos los contactos del usuario.

Cloudsearch

En https://cloudsearch.google.com/ puedes buscar a través de todo el contenido de Workspace (correo, drive, sitios...) al que un usuario tiene acceso. Ideal para encontrar rápidamente información sensible.

Google Chat

En https://mail.google.com/chat puedes acceder a un Chat de Google, y podrías encontrar información sensible en las conversaciones (si las hay).

Minería de Google Drive

Al compartir un documento puedes especificar las personas que pueden acceder a él una por una, compartirlo con toda tu empresa (o con algunos grupos específicos) generando un enlace.

Al compartir un documento, en la configuración avanzada también puedes permitir que las personas busquen este archivo (por defecto esto está deshabilitado). Sin embargo, es importante notar que una vez que los usuarios ven un documento, este es buscable por ellos.

Por simplicidad, la mayoría de las personas generarán y compartirán un enlace en lugar de agregar a las personas que pueden acceder al documento una por una.

Algunas formas propuestas para encontrar todos los documentos:

• Buscar en chat interno, foros...

• Rastrear documentos conocidos buscando referencias a otros documentos. Puedes hacer esto dentro de un App Script con PaperChaser

Keep Notes

En https://keep.google.com/ puedes acceder a las notas del usuario, información sensible podría estar guardada aquí.

Modificar App Scripts

En https://script.google.com/ puedes encontrar los APP Scripts del usuario.

Administrar Workspace

En https://admin.google.com/, podrías ser capaz de modificar la configuración de Workspace de toda la organización si tienes suficientes permisos.

También puedes encontrar correos buscando a través de todas las facturas del usuario en https://admin.google.com/ac/emaillogsearch

Referencias

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch y Beau Bullock - OK Google, ¿Cómo hago Red Team en GSuite?