GWS - Workspace Pentesting

Puntos de entrada

Plataformas de Google y Phishing de Aplicaciones OAuth

Verifica cómo podrías utilizar diferentes plataformas de Google como Drive, Chat, Groups... para enviar a la víctima un enlace de phishing y cómo realizar un Phishing de OAuth de Google en:

Password Spraying

Para probar contraseñas con todos los correos electrónicos que encontraste (o que has generado basados en un patrón de nombre de correo electrónico que hayas descubierto) puedes usar una herramienta como https://github.com/ustayready/CredKing (aunque parece no estar mantenida) que utilizará funciones de AWS lambdas para cambiar la dirección IP.

Post-Explotación

Si has comprometido algunas credenciales o la sesión del usuario, puedes realizar varias acciones para acceder a información potencialmente sensible del usuario y tratar de escalar privilegios:

GWS <-->GCP Pivoting

Persistencia

Si has comprometido algunas credenciales o la sesión del usuario, verifica estas opciones para mantener la persistencia sobre ellas:

Recuperación de Cuenta Comprometida

• Cerrar sesión en todas las sesiones

• Cambiar la contraseña del usuario

• Generar nuevos códigos de respaldo de 2FA

• Eliminar contraseñas de aplicaciones

• Eliminar aplicaciones OAuth

• Eliminar dispositivos de 2FA

• Eliminar reenviadores de correo electrónico

• Eliminar filtros de correos electrónicos

• Eliminar correos electrónicos de recuperación/teléfonos

• Eliminar smartphones sincronizados maliciosos

• Eliminar aplicaciones Android maliciosas

• Eliminar delegaciones de cuentas maliciosas

Referencias

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch y Beau Bullock - OK Google, ¿Cómo hago Red Team en GSuite?