GWS - Pós Exploração

Reading time: 4 minutes

Google Groups Privesc

Por padrão, em workspace, um grupo pode ser acessado livremente por qualquer membro da organização.
O Workspace também permite conceder permissões a grupos (até permissões GCP), então, se grupos podem ser ingressados e eles têm permissões extras, um atacante pode abusar desse caminho para escalar privilégios.

Você pode precisar de acesso ao console para ingressar em grupos que permitem ser ingressados por qualquer um na org. Verifique as informações dos grupos em https://groups.google.com/all-groups.

Acesso às informações de e-mail dos Grupos

Se você conseguiu comprometer uma sessão de usuário do google, a partir de https://groups.google.com/all-groups você pode ver o histórico de e-mails enviados para os grupos de e-mail dos quais o usuário é membro, e você pode encontrar credenciais ou outros dados sensíveis.

GCP <--> GWS Pivoting

GCP <--> Workspace Pivoting

Takeout - Baixar Tudo que o Google Sabe sobre uma conta

Se você tem uma sessão dentro da conta google da vítima, você pode baixar tudo que o Google salva sobre essa conta em https://takeout.google.com

Vault - Baixar todos os dados do Workspace dos usuários

Se uma organização tem Google Vault habilitado, você pode ser capaz de acessar https://vault.google.com e baixar todas as informações.

Download de Contatos

A partir de https://contacts.google.com você pode baixar todos os contatos do usuário.

Cloudsearch

Em https://cloudsearch.google.com/ você pode apenas pesquisar em todo o conteúdo do Workspace (e-mail, drive, sites...) que um usuário tem acesso. Ideal para encontrar rapidamente informações sensíveis.

Google Chat

Em https://mail.google.com/chat você pode acessar um Chat do Google, e você pode encontrar informações sensíveis nas conversas (se houver).

Mineração do Google Drive

Ao compartilhar um documento, você pode especificar as pessoas que podem acessá-lo uma a uma, compartilhar com toda a sua empresa (ou com alguns grupos específicos) gerando um link.

Ao compartilhar um documento, nas configurações avançadas você também pode permitir que as pessoas pesquisem por este arquivo (por padrão isso está desativado). No entanto, é importante notar que uma vez que os usuários visualizam um documento, ele se torna pesquisável por eles.

Para simplificar, a maioria das pessoas gerará e compartilhará um link em vez de adicionar as pessoas que podem acessar o documento uma a uma.

Algumas maneiras propostas para encontrar todos os documentos:

• Pesquisar em chats internos, fóruns...
• Spider documentos conhecidos em busca de referências a outros documentos. Você pode fazer isso dentro de um App Script com PaperChaser

Keep Notes

Em https://keep.google.com/ você pode acessar as notas do usuário, informações sensíveis podem estar salvas aqui.

Modificar App Scripts

Em https://script.google.com/ você pode encontrar os APP Scripts do usuário.

Administrar Workspace

Em https://admin.google.com/, você pode ser capaz de modificar as configurações do Workspace de toda a organização se tiver permissões suficientes.

Você também pode encontrar e-mails pesquisando em todas as faturas do usuário em https://admin.google.com/ac/emaillogsearch

Referências

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch e Beau Bullock - OK Google, Como faço para Red Team GSuite?