GWS - Persistence

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Alle in diesem Abschnitt genannten Aktionen, die Einstellungen ändern, generieren eine Sicherheitswarnung an die E-Mail und sogar eine Push-Benachrichtigung an jedes mit dem Konto synchronisierte Mobilgerät.

Persistenz in Gmail

Sie können Filter erstellen, um Sicherheitsbenachrichtigungen von Google zu verbergen
from: (no-reply@accounts.google.com) "Security Alert"
Dies verhindert, dass Sicherheits-E-Mails die E-Mail erreichen (verhindert jedoch nicht, dass Push-Benachrichtigungen auf das Mobilgerät gelangen)

Schritte zum Erstellen eines Gmail-Filters

(Anweisungen hier)

Öffnen Sie Gmail.
Klicken Sie im Suchfeld oben auf Suchoptionen anzeigen .
Geben Sie Ihre Suchkriterien ein. Wenn Sie überprüfen möchten, ob Ihre Suche korrekt funktioniert hat, sehen Sie sich an, welche E-Mails angezeigt werden, indem Sie auf Suchen klicken.
Klicken Sie am unteren Rand des Suchfensters auf Filter erstellen.
Wählen Sie aus, was der Filter tun soll.
Klicken Sie auf Filter erstellen.

Überprüfen Sie Ihren aktuellen Filter (um sie zu löschen) unter https://mail.google.com/mail/u/0/#settings/filters

Erstellen Sie eine Weiterleitungsadresse, um sensible Informationen (oder alles) weiterzuleiten - Sie benötigen manuellen Zugriff.
Erstellen Sie eine Weiterleitungsadresse unter https://mail.google.com/mail/u/2/#settings/fwdandpop
Die empfangende Adresse muss dies bestätigen
Stellen Sie dann ein, dass alle E-Mails weitergeleitet werden, während eine Kopie behalten wird (denken Sie daran, auf Änderungen speichern zu klicken):

Es ist auch möglich, Filter zu erstellen und nur bestimmte E-Mails an die andere E-Mail-Adresse weiterzuleiten.

App-Passwörter

Wenn Sie es geschafft haben, eine Google-Benutzersitzung zu kompromittieren und der Benutzer 2FA hatte, können Sie ein App-Passwort generieren (folgen Sie dem Link, um die Schritte zu sehen). Beachten Sie, dass App-Passwörter von Google nicht mehr empfohlen werden und widerrufen werden, wenn der Benutzer sein Google-Konto-Passwort ändert.

Selbst wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um ein App-Passwort zu erstellen.

App-Passwörter können nur mit Konten verwendet werden, die die 2-Schritt-Verifizierung aktiviert haben.

2-FA und Ähnliches ändern

Es ist auch möglich, 2-FA auszuschalten oder ein neues Gerät (oder eine Telefonnummer) auf dieser Seite https://myaccount.google.com/security** zu registrieren.** Es ist auch möglich, Passkeys zu generieren (Ihr eigenes Gerät hinzuzufügen), das Passwort zu ändern, Mobilnummern für Verifizierungstelefone und Wiederherstellung hinzuzufügen, die Wiederherstellungs-E-Mail zu ändern und die Sicherheitsfragen zu ändern).

Um zu verhindern, dass Sicherheits-Push-Benachrichtigungen das Telefon des Benutzers erreichen, könnten Sie sein Smartphone abmelden (obwohl das seltsam wäre), da Sie ihn von hier aus nicht erneut anmelden können.

Es ist auch möglich, das Gerät zu lokalisieren.

Selbst wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um diese Einstellungen zu ändern.

Persistenz über OAuth-Apps

Wenn Sie das Konto eines Benutzers kompromittiert haben, können Sie einfach akzeptieren, alle möglichen Berechtigungen für eine OAuth-App zu gewähren. Das einzige Problem ist, dass Workspace so konfiguriert werden kann, dass nicht überprüfte externe und/oder interne OAuth-Apps nicht erlaubt sind. Es ist ziemlich üblich, dass Workspace-Organisationen standardmäßig externen OAuth-Apps nicht vertrauen, aber internen vertrauen, also wenn Sie genug Berechtigungen haben, um eine neue OAuth-Anwendung innerhalb der Organisation zu generieren und externe Apps nicht erlaubt sind, generieren Sie sie und verwenden Sie diese neue interne OAuth-App, um Persistenz aufrechtzuerhalten.

Überprüfen Sie die folgende Seite für weitere Informationen zu OAuth-Apps:

GWS - Google Platforms Phishing

Persistenz über Delegation

Sie können einfach das Konto an ein anderes vom Angreifer kontrolliertes Konto delegieren (wenn Sie dazu berechtigt sind). In Workspace Organisationen muss diese Option aktiviert sein. Sie kann für alle deaktiviert, für einige Benutzer/Gruppen aktiviert oder für alle aktiviert werden (in der Regel ist sie nur für einige Benutzer/Gruppen aktiviert oder vollständig deaktiviert).

Wenn Sie ein Workspace-Administrator sind, überprüfen Sie dies, um die Funktion zu aktivieren

(Informationen aus den Dokumenten kopiert)

Als Administrator Ihrer Organisation (zum Beispiel Ihrer Arbeit oder Schule) steuern Sie, ob Benutzer den Zugriff auf ihr Gmail-Konto delegieren können. Sie können allen die Option geben, ihr Konto zu delegieren. Oder nur bestimmten Personen in bestimmten Abteilungen erlauben, eine Delegation einzurichten. Zum Beispiel können Sie:

Einen Verwaltungsassistenten als Delegierten für Ihr Gmail-Konto hinzufügen, damit er E-Mails in Ihrem Namen lesen und senden kann.
Eine Gruppe, wie Ihre Verkaufsabteilung, in Gruppen als Delegierten hinzufügen, um allen Zugriff auf ein Gmail-Konto zu gewähren.

Benutzer können den Zugriff nur auf einen anderen Benutzer in derselben Organisation delegieren, unabhängig von ihrer Domain oder ihrer organisatorischen Einheit.

Delegationsgrenzen & Einschränkungen

Benutzern erlauben, den Zugriff auf ihr Postfach an eine Google-Gruppe zu gewähren: Um diese Option zu verwenden, muss sie für die OU des delegierten Kontos und für die OU jedes Gruppenmitglieds aktiviert sein. Gruppenmitglieder, die zu einer OU gehören, für die diese Option nicht aktiviert ist, können nicht auf das delegierte Konto zugreifen.
Bei typischer Nutzung können 40 delegierte Benutzer gleichzeitig auf ein Gmail-Konto zugreifen. Überdurchschnittliche Nutzung durch einen oder mehrere Delegierte kann diese Zahl verringern.
Automatisierte Prozesse, die häufig auf Gmail zugreifen, können ebenfalls die Anzahl der Delegierten verringern, die gleichzeitig auf ein Konto zugreifen können. Diese Prozesse umfassen APIs oder Browsererweiterungen, die häufig auf Gmail zugreifen.
Ein einzelnes Gmail-Konto unterstützt bis zu 1.000 eindeutige Delegierte. Eine Gruppe in Gruppen zählt als ein Delegierter für das Limit.
Die Delegation erhöht nicht die Limits für ein Gmail-Konto. Gmail-Konten mit delegierten Benutzern haben die standardmäßigen Gmail-Kontolimits und -richtlinien. Für Details besuchen Sie Gmail-Limits und -Richtlinien.

Schritt 1: Aktivieren Sie die Gmail-Delegation für Ihre Benutzer

Bevor Sie beginnen: Um die Einstellung für bestimmte Benutzer anzuwenden, setzen Sie deren Konten in eine organisatorische Einheit.

Melden Sie sich an bei Ihrer Google Admin-Konsole.

Zeigen Sie den Kontoinhaber und den Delegierten an, der die E-Mail gesendet hat—Nachrichten enthalten die E-Mail-Adressen des Gmail-Kontoinhabers und des Delegierten.
Zeigen Sie nur den Kontoinhaber an—Nachrichten enthalten nur die E-Mail-Adresse des Gmail-Kontoinhabers. Die E-Mail-Adresse des Delegierten ist nicht enthalten.

(Optional) Um Benutzern zu erlauben, eine Gruppe in Gruppen als Delegierten hinzuzufügen, aktivieren Sie das Kontrollkästchen Benutzern erlauben, den Zugriff auf ihr Postfach an eine Google-Gruppe zu gewähren.
Klicken Sie auf Speichern. Wenn Sie eine untergeordnete organisatorische Einheit konfiguriert haben, können Sie möglicherweise die Einstellungen einer übergeordneten organisatorischen Einheit übernehmen oder überschreiben.
(Optional) Um die Gmail-Delegation für andere organisatorische Einheiten zu aktivieren, wiederholen Sie die Schritte 3–9.

Änderungen können bis zu 24 Stunden dauern, erfolgen jedoch normalerweise schneller. Erfahren Sie mehr

Schritt 2: Lassen Sie Benutzer Delegierte für ihre Konten einrichten

Nachdem Sie die Delegation aktiviert haben, gehen Ihre Benutzer zu ihren Gmail-Einstellungen, um Delegierte zuzuweisen. Delegierte können dann im Namen des Benutzers Nachrichten lesen, senden und empfangen.

Für Details leiten Sie die Benutzer zu Delegieren und zusammenarbeiten bei E-Mails.

Von einem regulären Benutzer, überprüfen Sie hier die Anweisungen, um zu versuchen, Ihren Zugriff zu delegieren

(Info kopiert aus den Dokumenten)

Sie können bis zu 10 Delegierte hinzufügen.

Wenn Sie Gmail über Ihre Arbeit, Schule oder andere Organisation verwenden:

Sie können bis zu 1000 Delegierte innerhalb Ihrer Organisation hinzufügen.
Bei typischer Nutzung können 40 Delegierte gleichzeitig auf ein Gmail-Konto zugreifen.
Wenn Sie automatisierte Prozesse verwenden, wie APIs oder Browsererweiterungen, können einige Delegierte gleichzeitig auf ein Gmail-Konto zugreifen.

Öffnen Sie auf Ihrem Computer Gmail. Sie können Delegierte nicht über die Gmail-App hinzufügen.
Klicken Sie auf die Registerkarte Konten und Import oder Konten.
Klicken Sie im Abschnitt "Zugriff auf Ihr Konto gewähren" auf Ein weiteres Konto hinzufügen. Wenn Sie Gmail über Ihre Arbeit oder Schule verwenden, kann Ihre Organisation die E-Mail-Delegation einschränken. Wenn Sie diese Einstellung nicht sehen, wenden Sie sich an Ihren Administrator.

Wenn Sie "Zugriff auf Ihr Konto gewähren" nicht sehen, ist es eingeschränkt.

Geben Sie die E-Mail-Adresse der Person ein, die Sie hinzufügen möchten. Wenn Sie Gmail über Ihre Arbeit, Schule oder andere Organisation verwenden und Ihr Administrator dies zulässt, können Sie die E-Mail-Adresse einer Gruppe eingeben. Diese Gruppe muss dieselbe Domain wie Ihre Organisation haben. Externe Mitglieder der Gruppe wird der Delegationszugriff verweigert. Wichtig: Wenn das Konto, das Sie delegieren, ein neues Konto ist oder das Passwort zurückgesetzt wurde, muss der Administrator die Anforderung deaktivieren, das Passwort beim ersten Anmelden zu ändern.

Die Person, die Sie hinzugefügt haben, erhält eine E-Mail, in der sie aufgefordert wird, zu bestätigen. Die Einladung läuft nach einer Woche ab.

Wenn Sie eine Gruppe hinzugefügt haben, werden alle Gruppenmitglieder ohne Bestätigung zu Delegierten.

Hinweis: Es kann bis zu 24 Stunden dauern, bis die Delegation wirksam wird.

Persistenz über Android-App

Wenn Sie eine Sitzung im Google-Konto des Opfers haben, können Sie zum Play Store browsen und möglicherweise Malware installieren, die Sie bereits in den Store hochgeladen haben, direkt auf das Telefon, um Persistenz aufrechtzuerhalten und auf das Telefon des Opfers zuzugreifen.

Persistenz über App-Skripte

Sie können zeitbasierte Trigger in App-Skripten erstellen, sodass, wenn das App-Skript vom Benutzer akzeptiert wird, es ausgelöst wird, auch ohne dass der Benutzer darauf zugreift. Für weitere Informationen darüber, wie Sie dies tun können, überprüfen Sie:

GWS - App Scripts

Referenzen

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: Die Macht der dunklen Apps Script Magie
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch und Beau Bullock - OK Google, wie mache ich Red Team GSuite?

Support HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

PreviousGWS - Post Exploitation NextGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)

Last updated 3 days ago