GWS - Post Exploitation
Élévation de privilèges avec Google Groups
Par défaut dans Workspace, un groupe peut être librement accessible par tout membre de l'organisation. Workspace permet également d'accorder des permissions aux groupes (y compris des permissions GCP), donc si des groupes peuvent être rejoints et qu'ils ont des permissions supplémentaires, un attaquant peut abuser de cette voie pour escalader des privilèges.
Vous aurez potentiellement besoin d'accéder à la console pour rejoindre des groupes qui permettent à n'importe qui dans l'org de les rejoindre. Vérifiez les informations des groupes sur https://groups.google.com/all-groups.
Accéder aux informations de messagerie des groupes
Si vous avez réussi à compromettre une session utilisateur Google, depuis https://groups.google.com/all-groups vous pouvez voir l'historique des mails envoyés aux groupes de messagerie dont l'utilisateur est membre, et vous pourriez trouver des identifiants ou d'autres données sensibles.
Pivotement GCP <--> GWS
pageGCP <--> Workspace PivotingTakeout - Télécharger tout ce que Google sait sur un compte
Si vous avez une session dans le compte Google de la victime, vous pouvez télécharger tout ce que Google enregistre sur ce compte depuis https://takeout.google.com
Vault - Télécharger toutes les données Workspace des utilisateurs
Si une organisation a Google Vault activé, vous pourriez être en mesure d'accéder à https://vault.google.com et de télécharger toutes les informations.
Téléchargement des contacts
Depuis https://contacts.google.com, vous pouvez télécharger tous les contacts de l'utilisateur.
Cloudsearch
Sur https://cloudsearch.google.com/, vous pouvez simplement rechercher à travers tout le contenu de Workspace (email, drive, sites...) auquel un utilisateur a accès. Idéal pour trouver rapidement des informations sensibles.
Google Chat
Sur https://mail.google.com/chat, vous pouvez accéder à un Chat Google, et vous pourriez trouver des informations sensibles dans les conversations (le cas échéant).
Exploration de Google Drive
Lors du partage d'un document, vous pouvez spécifier les personnes qui peuvent y accéder une par une, partager avec votre entreprise entière (ou avec certains groupes spécifiques) en générant un lien.
Lors du partage d'un document, dans les paramètres avancés, vous pouvez également permettre aux gens de rechercher ce fichier (par défaut, cela est désactivé). Cependant, il est important de noter qu'une fois qu'un utilisateur consulte un document, il devient recherchable par cet utilisateur.
Pour des raisons de simplicité, la plupart des gens vont générer et partager un lien au lieu d'ajouter une par une les personnes pouvant accéder au document.
Quelques méthodes proposées pour trouver tous les documents :
Rechercher dans le chat interne, les forums...
Explorer les documents connus à la recherche de références à d'autres documents. Vous pouvez faire cela avec un App Script avec PaperChaser
Keep Notes
Sur https://keep.google.com/, vous pouvez accéder aux notes de l'utilisateur, des informations sensibles pourraient y être enregistrées.
Modifier les App Scripts
Sur https://script.google.com/, vous pouvez trouver les APP Scripts de l'utilisateur.
Administrer Workspace
Sur https://admin.google.com/, vous pourriez être en mesure de modifier les paramètres de Workspace de toute l'organisation si vous avez suffisamment de permissions.
Vous pouvez également trouver des emails en recherchant à travers toutes les factures de l'utilisateur sur https://admin.google.com/ac/emaillogsearch
Références
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Piratage de G Suite : Le Pouvoir de la Magie des Scripts Apps Sombres
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch et Beau Bullock - OK Google, Comment faire du Red Team sur GSuite ?
Dernière mise à jour