Pontos de Entrada

Phishing em Plataformas Google e Aplicativos OAuth

Verifique como você poderia usar diferentes plataformas Google como Drive, Chat, Groups... para enviar ao alvo um link de phishing e como realizar um Phishing OAuth do Google em:

Password Spraying

Para testar senhas com todos os emails que você encontrou (ou gerou baseado em um padrão de nome de email que você pode ter descoberto), você pode usar uma ferramenta como https://github.com/ustayready/CredKing (embora pareça não ser mantida) que usará lambdas do AWS para mudar o endereço IP.

Pós-Exploração

Se você comprometeu algumas credenciais ou a sessão do usuário, você pode realizar várias ações para acessar informações potencialmente sensíveis do usuário e tentar escalar privilégios:

Pivoting GWS <-->GCP

Persistência

Se você comprometeu algumas credenciais ou a sessão do usuário, verifique estas opções para manter a persistência sobre ela:

Recuperação de Conta Comprometida

• Sair de todas as sessões

• Mudar a senha do usuário

• Gerar novos códigos de backup 2FA

• Remover senhas de aplicativos

• Remover aplicativos OAuth

• Remover dispositivos 2FA

• Remover encaminhadores de email

• Remover filtros de emails

• Remover email/telefones de recuperação

• Removidos smartphones sincronizados maliciosos

• Remover aplicativos Android ruins

• Remover delegações de conta ruins

Referências

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic

• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?