GWS - Persistence
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Alle in diesem Abschnitt genannten Aktionen, die Einstellungen ändern, generieren eine Sicherheitswarnung an die E-Mail und sogar eine Push-Benachrichtigung an jedes mit dem Konto synchronisierte Mobilgerät.
Sie können Filter erstellen, um Sicherheitsbenachrichtigungen von Google zu verbergen
from: (no-reply@accounts.google.com) "Security Alert"
Dies verhindert, dass Sicherheits-E-Mails die E-Mail erreichen (verhindert jedoch nicht, dass Push-Benachrichtigungen auf das Mobilgerät gelangen)
Erstellen Sie eine Weiterleitungsadresse, um sensible Informationen (oder alles) weiterzuleiten - Sie benötigen manuellen Zugriff.
Erstellen Sie eine Weiterleitungsadresse unter https://mail.google.com/mail/u/2/#settings/fwdandpop
Die empfangende Adresse muss dies bestätigen
Stellen Sie dann ein, dass alle E-Mails weitergeleitet werden, während eine Kopie behalten wird (denken Sie daran, auf Änderungen speichern zu klicken):
Es ist auch möglich, Filter zu erstellen und nur bestimmte E-Mails an die andere E-Mail-Adresse weiterzuleiten.
Wenn Sie es geschafft haben, eine Google-Benutzersitzung zu kompromittieren und der Benutzer 2FA hatte, können Sie ein App-Passwort generieren (folgen Sie dem Link, um die Schritte zu sehen). Beachten Sie, dass App-Passwörter von Google nicht mehr empfohlen werden und widerrufen werden, wenn der Benutzer sein Google-Konto-Passwort ändert.
Selbst wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um ein App-Passwort zu erstellen.
App-Passwörter können nur mit Konten verwendet werden, die die 2-Schritt-Verifizierung aktiviert haben.
Es ist auch möglich, 2-FA auszuschalten oder ein neues Gerät (oder eine Telefonnummer) auf dieser Seite https://myaccount.google.com/security** anzumelden.** Es ist auch möglich, Passkeys zu generieren (Ihr eigenes Gerät hinzuzufügen), das Passwort zu ändern, Mobilnummern für Verifizierungstelefone und Wiederherstellung hinzuzufügen, die Wiederherstellungs-E-Mail zu ändern und die Sicherheitsfragen zu ändern).
Um zu verhindern, dass Sicherheits-Push-Benachrichtigungen das Telefon des Benutzers erreichen, könnten Sie sein Smartphone abmelden (obwohl das seltsam wäre), da Sie ihn von hier aus nicht erneut anmelden können.
Es ist auch möglich, das Gerät zu lokalisieren.
Selbst wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um diese Einstellungen zu ändern.
Wenn Sie das Konto eines Benutzers kompromittiert haben, können Sie einfach akzeptieren, alle möglichen Berechtigungen für eine OAuth-App zu gewähren. Das einzige Problem ist, dass Workspace so konfiguriert werden kann, dass nicht überprüfte externe und/oder interne OAuth-Apps nicht erlaubt sind. Es ist ziemlich üblich, dass Workspace-Organisationen externe OAuth-Apps standardmäßig nicht vertrauen, aber internen vertrauen, also wenn Sie genug Berechtigungen haben, um eine neue OAuth-Anwendung innerhalb der Organisation zu generieren und externe Apps nicht erlaubt sind, generieren Sie sie und verwenden Sie diese neue interne OAuth-App, um Persistenz aufrechtzuerhalten.
Überprüfen Sie die folgende Seite für weitere Informationen zu OAuth-Apps:
GWS - Google Platforms PhishingSie können einfach das Konto an ein anderes Konto delegieren, das vom Angreifer kontrolliert wird (wenn Sie dazu berechtigt sind). In Workspace Organisationen muss diese Option aktiviert sein. Sie kann für alle deaktiviert, für einige Benutzer/Gruppen aktiviert oder für alle aktiviert werden (in der Regel ist sie nur für einige Benutzer/Gruppen aktiviert oder vollständig deaktiviert).
Wenn Sie eine Sitzung im Google-Konto des Opfers haben, können Sie zum Play Store navigieren und möglicherweise Malware installieren, die Sie bereits in den Store hochgeladen haben, direkt auf das Telefon, um Persistenz aufrechtzuerhalten und auf das Telefon des Opfers zuzugreifen.
Sie können zeitbasierte Trigger in App-Skripten erstellen, sodass, wenn das App-Skript vom Benutzer akzeptiert wird, es ausgelöst wird, auch ohne dass der Benutzer darauf zugreift. Für weitere Informationen darüber, wie Sie dies tun können, überprüfen Sie:
GWS - App Scriptshttps://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: Die Macht der dunklen Apps Script Magie
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch und Beau Bullock - OK Google, wie mache ich Red Team GSuite?
Melden Sie sich mit einem Administratorkonto an, nicht mit Ihrem aktuellen Konto CarlosPolop@gmail.com 2. Gehen Sie in der Admin-Konsole zu Menü AppsGoogle WorkspaceGmailBenutzereinstellungen. 3. Um die Einstellung für alle anzuwenden, lassen Sie die oberste organisatorische Einheit ausgewählt. Andernfalls wählen Sie eine untergeordnete organisatorische Einheit. 4. Klicken Sie auf Mail-Delegation. 5. Aktivieren Sie das Kontrollkästchen Benutzern erlauben, anderen Benutzern im Domain Zugriff auf ihr Postfach zu gewähren. 6. (Optional) Um Benutzern zu erlauben, anzugeben, welche Absenderinformationen in delegierten Nachrichten enthalten sind, die von ihrem Konto gesendet werden, aktivieren Sie das Kontrollkästchen Benutzern erlauben, diese Einstellung anzupassen. 7. Wählen Sie eine Option für die standardmäßigen Absenderinformationen, die in von Delegierten gesendeten Nachrichten enthalten sind:
Klicken Sie oben rechts auf Einstellungen Alle Einstellungen anzeigen.
Klicken Sie auf Nächster Schritt E-Mail senden, um Zugriff zu gewähren.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)