GWS - Workspace Pentesting

Entry Points

Google Platforms and OAuth Apps Phishing

Googleプラットフォーム（Drive、Chat、Groupsなど）を使用して、被害者にフィッシングリンクを送信する方法や、Google OAuthフィッシングを実行する方法を確認してください：

{{#ref}} gws-google-platforms-phishing/ {{#endref}}

Password Spraying

見つけたすべてのメールアドレス（または発見したメール名パターンに基づいて生成したもの）でパスワードをテストするために、https://github.com/ustayready/CredKingのようなツールを使用できます（メンテナンスされていないようですが）。このツールは、AWSラムダを使用してIPアドレスを変更します。

Post-Exploitation

いくつかの資格情報やユーザーのセッションを侵害した場合、ユーザーの潜在的な機密情報にアクセスし、特権を昇格させるためにいくつかのアクションを実行できます：

{{#ref}} gws-post-exploitation.md {{#endref}}

GWS <-->GCP Pivoting

GWSとGCPの間でピボットするためのさまざまな技術について詳しく読む：

{{#ref}} ../gcp-security/gcp-to-workspace-pivoting/ {{#endref}}

GWS <--> GCPW | GCDS | Directory Sync (AD & EntraID)

GCPW (Google Credential Provider for Windows): これは、Google Workspaceが提供するシングルサインオンで、ユーザーがWorkspaceの資格情報を使用してWindows PCにログインできます。さらに、これはPCのいくつかの場所にGoogle Workspaceにアクセスするためのトークンを保存します。
GCDS (Google Cloud Directory Sync): これは、アクティブディレクトリのユーザーとグループをWorkspaceに同期するために使用できるツールです。このツールは、Workspaceのスーパーユーザーと特権のあるADユーザーの資格情報を必要とします。したがって、ユーザーを時々同期しているドメインサーバー内で見つけることができるかもしれません。
Admin Directory Sync: これは、https://admin.google.com/ac/sync/externaldirectoriesからサーバーレスプロセスでADとEntraIDのユーザーを同期することを可能にします。

{{#ref}} gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/ {{#endref}}

Persistence

いくつかの資格情報やユーザーのセッションを侵害した場合、持続性を維持するためのこれらのオプションを確認してください：

{{#ref}} gws-persistence.md {{#endref}}

Account Compromised Recovery

すべてのセッションからログアウト
ユーザーパスワードの変更
新しい2FAバックアップコードの生成
アプリパスワードの削除
OAuthアプリの削除
2FAデバイスの削除
メール転送の削除
メールフィルターの削除
回復用メール/電話の削除
悪意のある同期スマートフォンの削除
悪いAndroidアプリの削除
悪いアカウントの委任の削除

References

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?

3.7 KiB Raw Blame History Unescape Escape