GWS - Post Exploitation
Google Groups 权限提升
默认情况下,在 workspace 中,组可以被组织中的任何成员自由访问。 Workspace 还允许授予组权限(甚至是 GCP 权限),因此如果可以加入的组具有额外权限,攻击者可能会利用该路径提升权限。
您可能需要访问控制台以加入允许组织中任何人加入的组。请在 https://groups.google.com/all-groups 检查组信息。
访问组邮件信息
如果您成功入侵了一个 Google 用户会话,您可以从 https://groups.google.com/all-groups 查看发送给用户所加入的邮件组的邮件历史,您可能会找到凭据或其他敏感数据。
GCP <--> GWS 透传
GCP <--> Workspace PivotingTakeout - 下载 Google 知道的关于账户的所有信息
如果您在受害者的 Google 账户中有会话,您可以从 https://takeout.google.com 下载 Google 保存的关于该账户的所有信息。
Vault - 下载用户的所有 Workspace 数据
如果一个组织启用了Google Vault,您可能能够访问 https://vault.google.com 并下载所有的信息。
联系人下载
您可以从 https://contacts.google.com 下载用户的所有联系人。
Cloudsearch
在 https://cloudsearch.google.com/ 中,您可以搜索用户可以访问的所有 Workspace 内容(电子邮件、云端硬盘、网站...)。理想用于快速查找敏感信息。
Google Chat
在 https://mail.google.com/chat 中,您可以访问 Google 聊天,并且您可能会在对话中找到敏感信息(如果有的话)。
Google Drive 挖掘
在共享文档时,您可以逐个指定可以访问它的人员,也可以通过生成链接与您的整个公司(或某些特定组)共享。
在共享文档时,在高级设置中,您还可以允许人们搜索此文件(默认情况下此选项是禁用的)。然而,重要的是要注意,一旦用户查看了文档,他们就可以搜索到它。
为了简单起见,大多数人会生成并共享一个链接,而不是逐个添加可以访问文档的人。
一些建议的查找所有文档的方法:
在内部聊天、论坛中搜索...
蜘蛛已知的文档,搜索对其他文档的引用。您可以在 App Script 中使用 PaperChaser 来实现。
Keep Notes
在 https://keep.google.com/ 中,您可以访问用户的笔记,敏感 信息可能会保存在这里。
修改 App Scripts
在 https://script.google.com/ 中,您可以找到用户的 APP Scripts。
管理 Workspace
在 https://admin.google.com/ 中,如果您有足够的权限,您可能能够修改整个组织的 Workspace 设置。
您还可以通过在 https://admin.google.com/ac/emaillogsearch 中搜索所有用户的发票来查找电子邮件。
参考
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch 和 Beau Bullock - OK Google, How do I Red Team GSuite?
Last updated