Points d'entrée

Phishing sur les plateformes Google et les applications OAuth

Vérifiez comment vous pourriez utiliser différentes plateformes Google telles que Drive, Chat, Groups... pour envoyer à la victime un lien de phishing et comment réaliser un phishing Google OAuth dans :

Password Spraying

Pour tester les mots de passe avec tous les emails que vous avez trouvés (ou que vous avez générés en vous basant sur un modèle de nom d'email que vous pourriez avoir découvert), vous pourriez utiliser un outil comme https://github.com/ustayready/CredKing (bien qu'il semble ne plus être maintenu) qui utilisera des lambdas AWS pour changer d'adresse IP.

Post-Exploitation

Si vous avez compromis certaines informations d'identification ou la session de l'utilisateur, vous pouvez effectuer plusieurs actions pour accéder à des informations potentiellement sensibles de l'utilisateur et essayer d'escalader les privilèges :

Pivotement GWS <-->GCP

Persistance

Si vous avez compromis certaines informations d'identification ou la session de l'utilisateur, vérifiez ces options pour maintenir la persistance :

Récupération de compte compromis

• Se déconnecter de toutes les sessions

• Changer le mot de passe de l'utilisateur

• Générer de nouveaux codes de sauvegarde 2FA

• Supprimer les mots de passe d'application

• Supprimer les applications OAuth

• Supprimer les dispositifs 2FA

• Supprimer les transferts d'email

• Supprimer les filtres d'email

• Supprimer l'email/les téléphones de récupération

• Supprimer les smartphones synchronisés malveillants

• Supprimer les mauvaises applications Android

• Supprimer les mauvaises délégations de compte

Références

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Piratage de G Suite : Le Pouvoir de la Magie des Scripts Apps Sombres

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch et Beau Bullock - OK Google, Comment faire du Red Team sur GSuite ?