Punti di accesso

Phishing su piattaforme Google e app OAuth

Verifica come potresti utilizzare diverse piattaforme Google come Drive, Chat, Groups... per inviare alla vittima un link di phishing e come eseguire un phishing OAuth di Google in:

Password Spraying

Per testare le password con tutte le email che hai trovato (o che hai generato in base a un modello di nome email che potresti aver scoperto) puoi utilizzare uno strumento come https://github.com/ustayready/CredKing (anche se sembra non essere mantenuto) che utilizzerà le lambda di AWS per cambiare l'indirizzo IP.

Post-Esploitation

Se hai compromesso alcune credenziali o la sessione dell'utente, puoi eseguire diverse azioni per accedere a potenziali informazioni sensibili dell'utente e cercare di ottenere privilegi:

GWS <-->GCP Pivoting

Persistenza

Se hai compromesso alcune credenziali o la sessione dell'utente, controlla queste opzioni per mantenere la persistenza su di esse:

Recupero dell'account compromesso

• Disconnetti tutte le sessioni

• Cambia la password dell'utente

• Genera nuovi codici di backup per l'autenticazione a due fattori (2FA)

• Rimuovi le password delle app

• Rimuovi le app OAuth

• Rimuovi i dispositivi 2FA

• Rimuovi i reindirizzamenti delle email

• Rimuovi i filtri delle email

• Rimuovi l'email/telefoni di recupero

• Rimuovi gli smartphone sincronizzati malevoli

• Rimuovi le app Android dannose

• Rimuovi le deleghe dell'account dannose

Riferimenti

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch e Beau Bullock - OK Google, How do I Red Team GSuite?