GWS - Persistence
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Όλες οι ενέργειες που αναφέρονται σε αυτή την ενότητα που αλλάζουν ρυθμίσεις θα δημιουργήσουν μια ειδοποίηση ασφαλείας στο email και ακόμη και μια ειδοποίηση push σε οποιαδήποτε κινητή συσκευή συγχρονισμένη με τον λογαριασμό.
Μπορείτε να δημιουργήσετε φίλτρα για να κρύψετε τις ειδοποιήσεις ασφαλείας από την Google
from: (no-reply@accounts.google.com) "Security Alert"
Αυτό θα αποτρέψει τα emails ασφαλείας να φτάσουν στο email (αλλά δεν θα αποτρέψει τις ειδοποιήσεις push στο κινητό)
Δημιουργήστε διεύθυνση προώθησης για να προωθήσετε ευαίσθητες πληροφορίες (ή τα πάντα) - Χρειάζεστε χειροκίνητη πρόσβαση.
Δημιουργήστε μια διεύθυνση προώθησης στο https://mail.google.com/mail/u/2/#settings/fwdandpop
Η διεύθυνση παραλαβής θα χρειαστεί να επιβεβαιώσει αυτό
Στη συνέχεια, ρυθμίστε να προωθούνται όλα τα emails διατηρώντας ένα αντίγραφο (θυμηθείτε να κάνετε κλικ στην αποθήκευση αλλαγών):
Είναι επίσης δυνατό να δημιουργήσετε φίλτρα και να προωθήσετε μόνο συγκεκριμένα emails στη διεύθυνση email.
Εάν καταφέρατε να συμβιβάσετε μια συνεδρία χρήστη της Google και ο χρήστης είχε 2FA, μπορείτε να δημιουργήσετε έναν κωδικό πρόσβασης εφαρμογής (ακολουθήστε τον σύνδεσμο για να δείτε τα βήματα). Σημειώστε ότι οι κωδικοί πρόσβασης εφαρμογής δεν συνιστώνται πλέον από την Google και ανακαλούνται όταν ο χρήστης αλλάξει τον κωδικό πρόσβασης του λογαριασμού Google.
Ακόμη και αν έχετε ανοιχτή συνεδρία, θα χρειαστεί να γνωρίζετε τον κωδικό πρόσβασης του χρήστη για να δημιουργήσετε έναν κωδικό πρόσβασης εφαρμογής.
Οι κωδικοί πρόσβασης εφαρμογής μπορούν να χρησιμοποιηθούν μόνο με λογαριασμούς που έχουν ενεργοποιημένη την Επιβεβαίωση Δύο Βημάτων.
Είναι επίσης δυνατό να απενεργοποιήσετε την 2-FA ή να εγγραφείτε μια νέα συσκευή (ή αριθμό τηλεφώνου) σε αυτή τη σελίδα https://myaccount.google.com/security. Είναι επίσης δυνατό να δημιουργήσετε κωδικούς πρόσβασης (προσθέστε τη δική σας συσκευή), να αλλάξετε τον κωδικό πρόσβασης, να προσθέσετε αριθμούς κινητών για τηλέφωνα επαλήθευσης και αποκατάστασης, να αλλάξετε το email αποκατάστασης και να αλλάξετε τις ερωτήσεις ασφαλείας).
Για να αποτρέψετε τις ειδοποιήσεις push ασφαλείας να φτάσουν στο τηλέφωνο του χρήστη, θα μπορούσατε να αποσυνδέσετε το smartphone του (αν και αυτό θα ήταν περίεργο) γιατί δεν μπορείτε να τον συνδέσετε ξανά από εδώ.
Είναι επίσης δυνατό να εντοπίσετε τη συσκευή.
Ακόμη και αν έχετε ανοιχτή συνεδρία, θα χρειαστεί να γνωρίζετε τον κωδικό πρόσβασης του χρήστη για να αλλάξετε αυτές τις ρυθμίσεις.
Εάν έχετε συμβιβάσει τον λογαριασμό ενός χρήστη, μπορείτε απλά να αποδεχθείτε να παραχωρήσετε όλες τις δυνατές άδειες σε μια OAuth App. Το μόνο πρόβλημα είναι ότι το Workspace μπορεί να ρυθμιστεί ώστε να απαγορεύει τις μη ελεγμένες εξωτερικές και/ή εσωτερικές εφαρμογές OAuth. Είναι αρκετά συνηθισμένο για τις Οργανώσεις Workspace να μην εμπιστεύονται από προεπιλογή τις εξωτερικές εφαρμογές OAuth αλλά να εμπιστεύονται τις εσωτερικές, οπότε αν έχετε αρκετές άδειες για να δημιουργήσετε μια νέα εφαρμογή OAuth μέσα στην οργάνωση και οι εξωτερικές εφαρμογές είναι απαγορευμένες, δημιουργήστε την και χρησιμοποιήστε αυτή τη νέα εσωτερική εφαρμογή OAuth για να διατηρήσετε την επιμονή.
Ελέγξτε την παρακάτω σελίδα για περισσότερες πληροφορίες σχετικά με τις εφαρμογές OAuth:
Μπορείτε απλά να αντιπροσωπεύσετε τον λογαριασμό σε έναν διαφορετικό λογαριασμό που ελέγχεται από τον επιτιθέμενο (εάν σας επιτρέπεται να το κάνετε αυτό). Σε Οργανώσεις Workspace αυτή η επιλογή πρέπει να είναι ενεργοποιημένη. Μπορεί να είναι απενεργοποιημένη για όλους, ενεργοποιημένη για ορισμένους χρήστες/ομάδες ή για όλους (συνήθως είναι μόνο ενεργοποιημένη για ορισμένους χρήστες/ομάδες ή εντελώς απενεργοποιημένη).
Εάν έχετε μια συνεδρία μέσα στον λογαριασμό Google του θύματος μπορείτε να περιηγηθείτε στο Play Store και μπορεί να είστε σε θέση να εγκαταστήσετε κακόβουλο λογισμικό που έχετε ήδη ανεβάσει στο κατάστημα απευθείας στο τηλέφωνο για να διατηρήσετε την επιμονή και να αποκτήσετε πρόσβαση στο τηλέφωνο του θύματος.
Μπορείτε να δημιουργήσετε χρονικά βασισμένα triggers σε App Scripts, έτσι ώστε αν το App Script γίνει αποδεκτό από τον χρήστη, θα ενεργοποιηθεί ακόμη και χωρίς να έχει πρόσβαση ο χρήστης σε αυτό. Για περισσότερες πληροφορίες σχετικά με το πώς να το κάνετε αυτό, ελέγξτε:
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?
Συνδεθείτε χρησιμοποιώντας έναν λογαριασμό διαχειριστή, όχι τον τρέχοντα λογαριασμό σας CarlosPolop@gmail.com 2. Στην κονσόλα διαχείρισης, μεταβείτε στο Μενού ΕφαρμογέςGoogle WorkspaceGmailΡυθμίσεις χρήστη. 3. Για να εφαρμόσετε τη ρύθμιση σε όλους, αφήστε την κορυφαία οργανωτική μονάδα επιλεγμένη. Διαφορετικά, επιλέξτε μια παιδική οργανωτική μονάδα. 4. Κάντε κλικ στο Αντιπροσώπευση ταχυδρομείου. 5. Ελέγξτε το πλαίσιο Επιτρέψτε στους χρήστες να παραχωρούν πρόσβαση στο ταχυδρομείο τους σε άλλους χρήστες στον τομέα. 6. (Προαιρετικά) Για να επιτρέψετε στους χρήστες να καθορίσουν ποιες πληροφορίες αποστολέα περιλαμβάνονται στα αντιπροσωπευόμενα μηνύματα που αποστέλλονται από τον λογαριασμό τους, ελέγξτε το πλαίσιο Επιτρέψτε στους χρήστες να προσαρμόσουν αυτή τη ρύθμιση. 7. Επιλέξτε μια επιλογή για τις προεπιλεγμένες πληροφορίες αποστολέα που περιλαμβάνονται στα μηνύματα που αποστέλλονται από τους αντιπροσώπους:
Στο επάνω δεξί μέρος, κάντε κλικ στις Ρυθμίσεις Δείτε όλες τις ρυθμίσεις.
6. Κάντε κλικ στο Επόμενο Βήμα Στείλτε email για να παραχωρήσετε πρόσβαση.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)