GWS - Workspace Pentesting
Puntos de Entrada
Phishing en Plataformas de Google y Aplicaciones OAuth
Revisa cómo podrías utilizar diferentes plataformas de Google como Drive, Chat, Groups... para enviar a la víctima un enlace de phishing y cómo realizar un Phishing de Google OAuth en:
Password Spraying
Para probar contraseñas con todos los correos electrónicos que has encontrado (o que has generado basándote en un patrón de nombre de correo electrónico que podrías haber descubierto) podrías usar una herramienta como https://github.com/ustayready/CredKing (aunque parece que no se mantiene) que utilizará lambdas de AWS para cambiar la dirección IP.
Post-Explotación
Si has comprometido algunas credenciales o la sesión del usuario, puedes realizar varias acciones para acceder a información potencialmente sensible del usuario y tratar de escalar privilegios:
Pivoteo entre GWS y GCP
Persistencia
Si has comprometido algunas credenciales o la sesión del usuario, revisa estas opciones para mantener la persistencia sobre ella:
Recuperación de Cuenta Comprometida
Cerrar sesión en todas las sesiones
Cambiar la contraseña del usuario
Generar nuevos códigos de respaldo para 2FA
Eliminar contraseñas de aplicaciones
Eliminar aplicaciones OAuth
Eliminar dispositivos de 2FA
Eliminar reenviadores de correo electrónico
Eliminar filtros de correo electrónico
Eliminar correos electrónicos/ teléfonos de recuperación
Eliminar smartphones sincronizados maliciosos
Eliminar aplicaciones de Android maliciosas
Eliminar delegaciones de cuenta maliciosas
Referencias
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?
Última actualización