GWS - Post Exploitation
Google Groups Privesc
デフォルトでは、ワークスペース内のグループは組織のメンバーによって自由にアクセスできます。 ワークスペースはまた、グループに(GCP権限を含む)権限を付与することも可能です。したがって、グループに参加でき、追加の権限がある場合、攻撃者は特権を昇格させるためにその経路を悪用する可能性があります。
組織内の誰でも参加できるグループに参加するには、コンソールへのアクセスが必要です。https://groups.google.com/all-groupsでグループ情報を確認できます。
グループメール情報へのアクセス
Googleユーザーセッションを侵害できた場合、https://groups.google.com/all-groupsから、ユーザーがメンバーであるメールグループに送信されたメールの履歴を確認し、資格情報や他の機密データを見つけることができるかもしれません。
GCP <--> GWS ピボット
GCP <--> Workspace PivotingTakeout - アカウントに関するGoogleのすべての情報をダウンロード
被害者のGoogleアカウント内でセッションを持っている場合、https://takeout.google.comからそのアカウントに関するGoogleが保存しているすべての情報をダウンロードできます。
Vault - ユーザーのすべてのWorkspaceデータをダウンロード
組織がGoogle Vaultを有効にしている場合、https://vault.google.comにアクセスして情報をすべてダウンロードできるかもしれません。
連絡先のダウンロード
https://contacts.google.comからユーザーの連絡先をすべてダウンロードできます。
Cloudsearch
https://cloudsearch.google.com/では、ユーザーがアクセスできるすべてのWorkspaceコンテンツ(メール、ドライブ、サイトなど)を検索できます。迅速に機密情報を見つけるのに最適です。
Google Chat
https://mail.google.com/chatでは、Google Chatにアクセスでき、会話の中に機密情報が含まれているかもしれません(あれば)。
Google Drive Mining
ドキュメントを共有する際に、個々の人がアクセスできるように指定したり、リンクを生成して会社全体(または特定のグループ)と共有したりできます。
ドキュメントを共有する際に、詳細設定でこのファイルを検索できるようにもできます(デフォルトでは無効)。ただし、ユーザーがドキュメントを表示すると、それを検索できるようになります。
簡単のため、ほとんどの人はドキュメントにアクセスできる人々を一人ずつ追加する代わりに、リンクを生成して共有するでしょう。
すべてのドキュメントを見つけるための提案された方法:
内部チャット、フォーラムで検索...
既知のドキュメントをスパイダーして他のドキュメントへの参照を検索します。これは、PaperChaserを使用したApp Script内で行うことができます。
メモを取る
https://keep.google.com/では、ユーザーのメモにアクセスでき、ここに機密情報が保存されている可能性があります。
App Scriptsの変更
https://script.google.com/では、ユーザーのAPPスクリプトを見つけることができます。
ワークスペースの管理
https://admin.google.com/では、十分な権限があれば、組織全体のワークスペース設定を変更できるかもしれません。
また、https://admin.google.com/ac/emaillogsearchでユーザーのすべての請求書を検索することでメールを見つけることもできます。
参考文献
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?
Last updated