GWS - Workspace Pentesting
진입점
Google 플랫폼 및 OAuth 앱 피싱
Google Drive, Chat, Groups와 같은 다양한 Google 플랫폼을 사용하여 피해자에게 피싱 링크를 보내는 방법과 Google OAuth 피싱을 수행하는 방법을 확인하세요:
GWS - Google Platforms Phishing비밀번호 스프레이
발견한 모든 이메일(또는 발견한 이메일 이름 패턴을 기반으로 생성한 이메일)로 비밀번호를 테스트하기 위해 https://github.com/ustayready/CredKing와 같은 도구를 사용할 수 있습니다(유지 관리되지 않는 것처럼 보이지만). 이 도구는 AWS 람다를 사용하여 IP 주소를 변경합니다.
사후 활용
자격 증명이나 사용자의 세션을 손상시킨 경우, 사용자의 잠재적인 민감한 정보에 접근하고 권한을 상승시키기 위해 여러 작업을 수행할 수 있습니다:
GWS - Post ExploitationGWS <-->GCP 피벗팅
GWS와 GCP 간의 피벗팅에 대한 다양한 기술에 대해 더 알아보세요:
GCP <--> Workspace PivotingGWS <--> GCPW | GCDS | 디렉토리 동기화 (AD & EntraID)
GCPW (Google Credential Provider for Windows): 이는 Google Workspaces가 제공하는 단일 로그인으로, 사용자가 자신의 Workspace 자격 증명을 사용하여 Windows PC에 로그인할 수 있습니다. 또한, 이는 PC의 여러 위치에 Google Workspace에 접근하기 위한 토큰을 저장합니다.
GCDS (Google Cloud Directory Sync): 이는 활성 디렉토리 사용자 및 그룹을 Workspace와 동기화하는 데 사용할 수 있는 도구입니다. 이 도구는 Workspace 슈퍼유저 및 권한이 있는 AD 사용자의 자격 증명이 필요합니다. 따라서, 사용자 동기화를 주기적으로 수행하는 도메인 서버 내에서 이를 찾는 것이 가능할 수 있습니다.
관리자 디렉토리 동기화: 이는 https://admin.google.com/ac/sync/externaldirectories에서 서버리스 프로세스를 통해 AD 및 EntraID의 사용자를 동기화할 수 있게 해줍니다.
지속성
자격 증명이나 사용자의 세션을 손상시킨 경우, 이를 지속적으로 유지하기 위한 옵션을 확인하세요:
GWS - Persistence계정 손상 복구
모든 세션에서 로그아웃
사용자 비밀번호 변경
새로운 2FA 백업 코드 생성
앱 비밀번호 제거
OAuth 앱 제거
2FA 장치 제거
이메일 포워더 제거
이메일 필터 제거
복구 이메일/전화번호 제거
악성 동기화 스마트폰 제거
나쁜 Android 앱 제거
나쁜 계정 위임 제거
참고 자료
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - G Suite 해킹: 다크 앱 스크립트 마법의 힘
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch 및 Beau Bullock - OK Google, GSuite를 어떻게 Red Team하나요?
Last updated
