GWS - Pentesting de Workspace

Reading time: 4 minutes

Points d'Entrée

Phishing sur les plateformes Google et les applications OAuth

Vérifiez comment vous pourriez utiliser différentes plateformes Google telles que Drive, Chat, Groups... pour envoyer à la victime un lien de phishing et comment effectuer un phishing Google OAuth dans :

GWS - Google Platforms Phishing

Password Spraying

Pour tester les mots de passe avec tous les emails que vous avez trouvés (ou que vous avez générés en fonction d'un modèle de nom d'email que vous avez peut-être découvert), vous pourriez utiliser un outil comme https://github.com/ustayready/CredKing (bien qu'il semble non maintenu) qui utilisera des lambdas AWS pour changer d'adresse IP.

Post-Exploitation

Si vous avez compromis des identifiants ou la session de l'utilisateur, vous pouvez effectuer plusieurs actions pour accéder à des informations potentiellement sensibles de l'utilisateur et essayer d'escalader les privilèges :

GWS - Post Exploitation

GWS <--> GCP Pivoting

Lisez-en plus sur les différentes techniques pour pivoter entre GWS et GCP dans :

GCP <--> Workspace Pivoting

GWS <--> GCPW | GCDS | Synchronisation de Répertoire (AD & EntraID)

• GCPW (Google Credential Provider for Windows) : C'est le système d'authentification unique que Google Workspaces fournit pour que les utilisateurs puissent se connecter à leurs PC Windows en utilisant leurs identifiants Workspace. De plus, cela stockera des jetons pour accéder à Google Workspace à certains endroits sur le PC.
• GCDS (Google Cloud Directory Sync) : C'est un outil qui peut être utilisé pour synchroniser vos utilisateurs et groupes d'annuaire actif avec votre Workspace. L'outil nécessite les identifiants d'un super utilisateur Workspace et d'un utilisateur AD privilégié. Il pourrait donc être possible de le trouver à l'intérieur d'un serveur de domaine qui synchroniserait les utilisateurs de temps en temps.
• Admin Directory Sync : Il vous permet de synchroniser les utilisateurs d'AD et d'EntraID dans un processus sans serveur depuis https://admin.google.com/ac/sync/externaldirectories.

GWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)

Persistance

Si vous avez compromis des identifiants ou la session de l'utilisateur, vérifiez ces options pour maintenir la persistance :

GWS - Persistence

Récupération de Compte Compromis

• Se déconnecter de toutes les sessions
• Changer le mot de passe de l'utilisateur
• Générer de nouveaux codes de sauvegarde 2FA
• Supprimer les mots de passe d'application
• Supprimer les applications OAuth
• Supprimer les appareils 2FA
• Supprimer les redirections d'email
• Supprimer les filtres d'emails
• Supprimer les emails/numéros de téléphone de récupération
• Supprimer les smartphones synchronisés malveillants
• Supprimer les mauvaises applications Android
• Supprimer les mauvaises délégations de compte

Références

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch et Beau Bullock - OK Google, Comment puis-je Red Team GSuite ?