GWS - Post Exploitation

Reading time: 4 minutes

Google Groups Privesc

Par défaut, dans Workspace, un groupe peut être librement accessible par tout membre de l'organisation.
Workspace permet également de donner des permissions aux groupes (même des permissions GCP), donc si des groupes peuvent être rejoints et qu'ils ont des permissions supplémentaires, un attaquant peut abuser de ce chemin pour escalader les privilèges.

Vous avez potentiellement besoin d'accès à la console pour rejoindre des groupes qui peuvent être rejoints par quiconque dans l'organisation. Vérifiez les informations sur les groupes dans https://groups.google.com/all-groups.

Accéder aux informations des groupes de mail

Si vous avez réussi à compromettre une session utilisateur Google, depuis https://groups.google.com/all-groups, vous pouvez voir l'historique des mails envoyés aux groupes de mail dont l'utilisateur est membre, et vous pourriez trouver des identifiants ou d'autres données sensibles.

GCP <--> GWS Pivoting

GCP <--> Workspace Pivoting

Takeout - Télécharger tout ce que Google sait sur un compte

Si vous avez une session dans le compte Google de la victime, vous pouvez télécharger tout ce que Google sauvegarde sur ce compte depuis https://takeout.google.com

Vault - Télécharger toutes les données Workspace des utilisateurs

Si une organisation a Google Vault activé, vous pourriez être en mesure d'accéder à https://vault.google.com et télécharger toutes les informations.

Téléchargement des contacts

Depuis https://contacts.google.com, vous pouvez télécharger tous les contacts de l'utilisateur.

Cloudsearch

Dans https://cloudsearch.google.com/, vous pouvez simplement rechercher dans tout le contenu Workspace (email, drive, sites...) auquel un utilisateur a accès. Idéal pour trouver rapidement des informations sensibles.

Google Chat

Dans https://mail.google.com/chat, vous pouvez accéder à un Chat Google, et vous pourriez trouver des informations sensibles dans les conversations (s'il y en a).

Google Drive Mining

Lors de partage d'un document, vous pouvez spécifier les personnes qui peuvent y accéder une par une, le partager avec votre entreprise entière (ou avec certains groupes spécifiques) en générant un lien.

Lors du partage d'un document, dans les paramètres avancés, vous pouvez également permettre aux gens de rechercher ce fichier (par défaut, cela est désactivé). Cependant, il est important de noter qu'une fois que les utilisateurs consultent un document, il est consultable par eux.

Pour des raisons de simplicité, la plupart des gens généreront et partageront un lien au lieu d'ajouter les personnes qui peuvent accéder au document une par une.

Quelques méthodes proposées pour trouver tous les documents :

• Rechercher dans le chat interne, les forums...
• Spider des documents connus à la recherche de références à d'autres documents. Vous pouvez le faire dans un App Script avec PaperChaser

Keep Notes

Dans https://keep.google.com/, vous pouvez accéder aux notes de l'utilisateur, des informations sensibles pourraient y être sauvegardées.

Modifier les App Scripts

Dans https://script.google.com/, vous pouvez trouver les APP Scripts de l'utilisateur.

Administrer Workspace

Dans https://admin.google.com/, vous pourriez être en mesure de modifier les paramètres de Workspace de toute l'organisation si vous avez suffisamment de permissions.

Vous pouvez également trouver des emails en recherchant dans toutes les factures de l'utilisateur sur https://admin.google.com/ac/emaillogsearch

Références

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch et Beau Bullock - OK Google, How do I Red Team GSuite?