GWS - Post Exploitation

Google Groups Privesc

Par défaut, dans Workspace, un groupe peut être librement accessible par tout membre de l'organisation. Workspace permet également de donner des permissions aux groupes (même des permissions GCP), donc si des groupes peuvent être rejoints et qu'ils ont des permissions supplémentaires, un attaquant peut abuser de ce chemin pour élever ses privilèges.

Vous avez potentiellement besoin d'accès à la console pour rejoindre des groupes qui peuvent être rejoints par quiconque dans l'organisation. Vérifiez les informations sur les groupes à https://groups.google.com/all-groups.

Accéder aux informations des groupes de mail

Si vous avez réussi à compromettre une session utilisateur Google, depuis https://groups.google.com/all-groups, vous pouvez voir l'historique des mails envoyés aux groupes de mail dont l'utilisateur est membre, et vous pourriez trouver des identifiants ou d'autres données sensibles.

GCP <--> GWS Pivoting

Takeout - Télécharger tout ce que Google sait sur un compte

Si vous avez une session dans le compte Google de la victime, vous pouvez télécharger tout ce que Google sauvegarde sur ce compte depuis https://takeout.google.com

Vault - Télécharger toutes les données Workspace des utilisateurs

Si une organisation a Google Vault activé, vous pourriez être en mesure d'accéder à https://vault.google.com et télécharger toutes les informations.

Téléchargement des contacts

Depuis https://contacts.google.com, vous pouvez télécharger tous les contacts de l'utilisateur.

Cloudsearch

Dans https://cloudsearch.google.com/, vous pouvez simplement rechercher dans tout le contenu Workspace (email, drive, sites...) auquel un utilisateur a accès. Idéal pour trouver rapidement des informations sensibles.

Google Chat

Dans https://mail.google.com/chat, vous pouvez accéder à un Chat Google, et vous pourriez trouver des informations sensibles dans les conversations (s'il y en a).

Google Drive Mining

Lors de partage d'un document, vous pouvez spécifier les personnes qui peuvent y accéder une par une, le partager avec votre entreprise entière (ou avec certains groupes spécifiques) en générant un lien.

Lors du partage d'un document, dans les paramètres avancés, vous pouvez également permettre aux gens de rechercher ce fichier (par défaut, cela est désactivé). Cependant, il est important de noter qu'une fois que les utilisateurs consultent un document, il est consultable par eux.

Pour des raisons de simplicité, la plupart des gens généreront et partageront un lien au lieu d'ajouter les personnes qui peuvent accéder au document une par une.

Quelques façons proposées pour trouver tous les documents :

• Rechercher dans les chats internes, forums...

• Explorer des documents connus à la recherche de références à d'autres documents. Vous pouvez le faire dans un App Script avec PaperChaser

Keep Notes

Dans https://keep.google.com/, vous pouvez accéder aux notes de l'utilisateur, des informations sensibles pourraient y être sauvegardées.

Modifier les App Scripts

Dans https://script.google.com/, vous pouvez trouver les APP Scripts de l'utilisateur.

Administrer Workspace

Dans https://admin.google.com/, vous pourriez être en mesure de modifier les paramètres de Workspace de toute l'organisation si vous avez suffisamment de permissions.

Vous pouvez également trouver des emails en recherchant dans toutes les factures de l'utilisateur à https://admin.google.com/ac/emaillogsearch

Références

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite : Le pouvoir de la magie des scripts d'applications sombres

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch et Beau Bullock - OK Google, comment faire une Red Team sur GSuite ?