GWS - Persistence

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Alle aksies wat in hierdie afdeling genoem word wat instellings verander, sal 'n veiligheidswaarskuwing na die e-pos en selfs 'n stoot kennisgewing na enige mobiele toestel wat met die rekening gesinkroniseer is genereer.

Persistensie in Gmail

Jy kan filters skep om veiligheidskennisgewings van Google te verberg
from: (no-reply@accounts.google.com) "Security Alert"
Dit sal voorkom dat veiligheids-e-posse die e-pos bereik (maar sal nie stoot kennisgewings na die mobiele toestel voorkom nie)

Stappe om 'n gmail-filter te skep

(Instruksies van hier)

Maak Gmail oop.
In die soekboks aan die bokant, klik op Soekopsies wys .
Voer jou soekkriteria in. As jy wil kyk of jou soek korrek gewerk het, kyk watter e-posse verskyn deur op Soek te klik.
Aan die onderkant van die soekvenster, klik op Skep filter.
Kies wat jy wil hê die filter moet doen.
Klik op Skep filter.

Kyk jou huidige filter (om dit te verwyder) in https://mail.google.com/mail/u/0/#settings/filters

Skep doorstuur adres om sensitiewe inligting (of alles) te deurstuur - Jy het handmatige toegang nodig.
Skep 'n deurstuur adres in https://mail.google.com/mail/u/2/#settings/fwdandpop
Die ontvangende adres sal dit moet bevestig
Stel dan in om al die e-posse te deurstuur terwyl 'n kopie behou word (onthou om op veranderinge te stoor te klik):

Dit is ook moontlik om filters te skep en slegs spesifieke e-posse na die ander e-pos adres te stuur.

App wagwoorde

As jy daarin geslaag het om 'n google gebruikersessie te kompromitteer en die gebruiker het 2FA, kan jy 'n app wagwoord genereer (volg die skakel om die stappe te sien). Let daarop dat App wagwoorde nie meer deur Google aanbeveel word nie en word herroep wanneer die gebruiker sy Google-rekening wagwoord verander.

Selfs as jy 'n oop sessie het, sal jy die wagwoord van die gebruiker moet weet om 'n app wagwoord te skep.

App wagwoorde kan slegs gebruik word met rekeninge wat 2-Stap Verifikasie geaktiveer het.

Verander 2-FA en soortgelyk

Dit is ook moontlik om 2-FA af te skakel of 'n nuwe toestel (of telefoonnommer) op hierdie bladsy https://myaccount.google.com/security. Dit is ook moontlik om wagslotte te genereer (voeg jou eie toestel by), die wagwoord te verander, mobiele nommers vir verifikasietelefone en herstel, die herstel e-pos te verander en die veiligheidsvrae te verander).

Om veiligheidsstoot kennisgewings te voorkom om die telefoon van die gebruiker te bereik, kan jy sy slimfoon afteken (alhoewel dit vreemd sou wees) omdat jy hom nie weer van hier af kan aanmeld nie.

Dit is ook moontlik om die toestel te lokaliseer.

Selfs as jy 'n oop sessie het, sal jy die wagwoord van die gebruiker moet weet om hierdie instellings te verander.

Persistensie via OAuth Apps

As jy die rekening van 'n gebruiker gecompromitteer het, kan jy net aanvaar om al die moontlike toestemmings aan 'n OAuth App te verleen. Die enigste probleem is dat Workspace geconfigureer kan word om onbeoordeelde eksterne en/of interne OAuth apps te verbied. Dit is redelik algemeen dat Workspace Organisasies nie standaard eksterne OAuth apps vertrou nie, maar interne wel, so as jy genoeg toestemmings het om 'n nuwe OAuth toepassing binne die organisasie te genereer en eksterne apps is verbied, genereer dit en gebruik daardie nuwe interne OAuth app om persistensie te handhaaf.

Kyk die volgende bladsy vir meer inligting oor OAuth Apps:

Persistensie via delegasie

Jy kan net die rekening aan 'n ander rekening wat deur die aanvaller beheer word, delegeer (as jy toegelaat word om dit te doen). In Workspace Organisasies moet hierdie opsie geaktiveer wees. Dit kan vir almal gedeaktiveer word, van sommige gebruikers/groepe geaktiveer of vir almal (gewoonlik is dit slegs geaktiveer vir sommige gebruikers/groepe of heeltemal gedeaktiveer).

As jy 'n Workspace admin is, kyk hier om die funksie te aktiveer

(Inligting gekopieer uit die dokumentasie)

As 'n administrateur vir jou organisasie (byvoorbeeld, jou werk of skool), beheer jy of gebruikers toegang tot hul Gmail-rekening kan delegeer. Jy kan almal die opsie gee om hul rekening te delegeer. Of, net mense in sekere departemente toelaat om delegasie op te stel. Byvoorbeeld, jy kan:

Voeg 'n administratiewe assistent as 'n gedelegeerde op jou Gmail-rekening sodat hulle e-pos namens jou kan lees en stuur.
Voeg 'n groep, soos jou verkoopsdepartement, in Groepe as 'n gedelegeerde om almal toegang tot een Gmail-rekening te gee.

Gebruikers kan slegs toegang aan 'n ander gebruiker in dieselfde organisasie delegeer, ongeag hul domein of hul organisatoriese eenheid.

Delegasie beperkings & beperkings

Laat gebruikers toe om toegang tot hul posbus aan 'n Google-groep te verleen opsie: Om hierdie opsie te gebruik, moet dit geaktiveer wees vir die OU van die gedelegeerde rekening en vir elke groepslid se OU. Groepslede wat aan 'n OU behoort sonder hierdie opsie geaktiveer, kan nie toegang tot die gedelegeerde rekening verkry nie.
Met tipiese gebruik kan 40 gedelegeerde gebruikers terselfdertyd toegang tot 'n Gmail-rekening verkry. Bo-gemiddelde gebruik deur een of meer gedelegeerdes kan hierdie getal verminder.
Geoutomatiseerde prosesse wat gereeld toegang tot Gmail verkry, kan ook die aantal gedelegeerdes wat terselfdertyd toegang tot 'n rekening kan verkry, verminder. Hierdie prosesse sluit API's of blaaiers uitbreidings in wat gereeld toegang tot Gmail verkry.
'n Enkele Gmail-rekening ondersteun tot 1,000 unieke gedelegeerdes. 'n Groep in Groepe tel as een gedelegeerde teen die limiet.
Delegasie verhoog nie die limiete vir 'n Gmail-rekening nie. Gmail-rekeninge met gedelegeerde gebruikers het die standaard Gmail-rekening limiete en beleide. Vir besonderhede, besoek Gmail limiete en beleide.

Stap 1: Skakel Gmail delegasie aan vir jou gebruikers

Voordat jy begin: Om die instelling vir sekere gebruikers toe te pas, plaas hul rekeninge in 'n organisatoriese eenheid.

Teken in op jou Google Admin-konsol.

Wys die rekening eienaar en die gedelegeerde wat die e-pos gestuur het—Boodskappe sluit die e-pos adresse van die Gmail rekening eienaar en die gedelegeerde in.
Wys slegs die rekening eienaar—Boodskappe sluit slegs die e-pos adres van die Gmail rekening eienaar in. Die gedelegeerde e-pos adres is nie ingesluit nie.

(Opsioneel) Om gebruikers toe te laat om 'n groep in Groepe as 'n gedelegeerde toe te voeg, merk die Laat gebruikers toe om toegang tot hul posbus aan 'n Google-groep te verleen blokkie.
Klik op Stoor. As jy 'n kind organisatoriese eenheid geconfigureer het, kan jy dalk Erf of Oorskry 'n ouer organisatoriese eenheid se instellings.
(Opsioneel) Om Gmail delegasie aan te skakel vir ander organisatoriese eenhede, herhaal stappe 3–9.

Veranderinge kan tot 24 uur neem, maar gebeur gewoonlik vinniger. Leer meer

Stap 2: Laat gebruikers gedelegeerdes vir hul rekeninge opstel

Nadat jy delegasie aangeskakel het, gaan jou gebruikers na hul Gmail instellings om gedelegeerdes toe te ken. Gedelegeerdes kan dan boodskappe namens die gebruiker lees, stuur en ontvang.

Vir besonderhede, verwys gebruikers na Delegeer en werk saam aan e-pos.

Van 'n gewone gebruiker, kyk hier die instruksies om te probeer om jou toegang te delegeer

(Inligting gekopieer uit die dokumentasie)

Jy kan tot 10 gedelegeerdes byvoeg.

As jy Gmail deur jou werk, skool of ander organisasie gebruik:

Jy kan tot 1000 gedelegeerdes binne jou organisasie byvoeg.
Met tipiese gebruik kan 40 gedelegeerde gebruikers terselfdertyd toegang tot 'n Gmail-rekening verkry.
As jy geoutomatiseerde prosesse gebruik, soos API's of blaaiers uitbreidings, kan 'n paar gedelegeerdes terselfdertyd toegang tot 'n Gmail-rekening verkry.

Op jou rekenaar, maak Gmail oop. Jy kan nie gedelegeerdes vanuit die Gmail-app byvoeg nie.
Klik op die Rekeninge en Invoer of Rekeninge tab.
In die "Verleen toegang tot jou rekening" afdeling, klik op Voeg 'n ander rekening by. As jy Gmail deur jou werk of skool gebruik, mag jou organisasie e-posdelegasie beperk. As jy nie hierdie instelling sien nie, kontak jou admin.

As jy nie "Verleen toegang tot jou rekening" sien nie, dan is dit beperk.

Voer die e-pos adres van die persoon wat jy wil byvoeg in. As jy Gmail deur jou werk, skool of ander organisasie gebruik, en jou admin dit toelaat, kan jy die e-pos adres van 'n groep invoer. Hierdie groep moet dieselfde domein as jou organisasie hê. Eksterne lede van die groep word toegang tot delegasie ontken. Belangrik: As die rekening wat jy delegeer 'n nuwe rekening is of die wagwoord gereset is, moet die Admin die vereiste om die wagwoord te verander wanneer jy eerste keer aanmeld, afskakel.

Die persoon wat jy bygevoeg het, sal 'n e-pos ontvang wat hulle vra om te bevestig. Die uitnodiging verval na 'n week.

As jy 'n groep bygevoeg het, sal alle groepslede gedelegeerdes word sonder om te bevestig.

Let op: Dit kan tot 24 uur neem voordat die delegasie begin om effektief te wees.

Persistensie via Android App

As jy 'n sessie binne die slagoffer se google rekening het, kan jy na die Play Store blaai en mag dalk in staat wees om malware wat jy reeds na die winkel opgelaai het, direk na die telefoon te installeer om persistensie te handhaaf en toegang tot die slagoffer se telefoon te verkry.

Persistensie via App Skripte

Jy kan tyd-gebaseerde triggers in App Skripte skep, so as die App Skrip deur die gebruiker aanvaar word, sal dit geaktiveer word selfs sonder dat die gebruiker dit toegang het. Vir meer inligting oor hoe om dit te doen, kyk:

Verwysings

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch en Beau Bullock - OK Google, Hoe doen ek 'n Red Team GSuite?

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousGWS - Post Exploitation NextGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)

Last updated 3 days ago