GWS - Workspace Pentesting
Njia za Kuingilia
Jukwaa la Google na Udukuzi wa Programu za OAuth
Angalia jinsi unavyoweza kutumia majukwaa tofauti ya Google kama Drive, Chat, Groups... kutuma kiungo cha udukuzi kwa muathiriwa na jinsi ya kufanya Udukuzi wa Google OAuth katika:
pageGWS - Google Platforms PhishingSpraying ya Nywila
Kwa lengo la kujaribu nywila na barua pepe zote ulizopata (au ulizozalisha kulingana na mfano wa jina la barua pepe ulilopata) unaweza kutumia zana kama https://github.com/ustayready/CredKing (ingawa inaonekana haijatunzwa) ambayo itatumia AWS lambdas kubadilisha anwani ya IP.
Baada ya Udukuzi
Ikiwa umedukua baadhi ya siri au kikao cha mtumiaji unaweza kufanya vitendo kadhaa kufikia habari nyeti ya mtumiaji na kujaribu kuboresha mamlaka:
pageGWS - Post ExploitationGWS <-->GCP Pivoting
pageGCP <--> Workspace PivotingUthabiti
Ikiwa umedukua baadhi ya siri au kikao cha mtumiaji angalia chaguzi hizi kudumisha uthabiti juu yake:
pageGWS - PersistenceKurejesha Akaunti Iliyodukuliwa
Toka kwenye vikao vyote
Badilisha nywila ya mtumiaji
Unda nambari mpya za kuhakiki 2FA
Ondoa nywila za programu
Ondoa programu za OAuth
Ondoa vifaa vya 2FA
Ondoa wapelekaji wa barua pepe
Ondoa filamu za barua pepe
Ondoa barua pepe/rejeshi za simu
Ondoa simu za mkononi zilizosinkronishwa vibaya
Ondoa Programu mbaya za Android
Ondoa uteuzi mbaya wa akaunti
Marejeo
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Udukuzi wa G Suite: Nguvu ya Uchawi wa Script za Giza
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch na Beau Bullock - OK Google, Ninawezaje Kuwa Timu Nyekundu ya GSuite?
Last updated