GWS - Persistence

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

Όλες οι ενέργειες που αναφέρονται σε αυτή την ενότητα που αλλάζουν ρυθμίσεις θα δημιουργήσουν μια ειδοποίηση ασφαλείας στο email και ακόμη και μια ειδοποίηση push σε οποιαδήποτε κινητή συσκευή συγχρονισμένη με τον λογαριασμό.

Persistence in Gmail

Μπορείτε να δημιουργήσετε φίλτρα για να κρύψετε τις ειδοποιήσεις ασφαλείας από την Google
from: (no-reply@accounts.google.com) "Security Alert"
Αυτό θα αποτρέψει τα emails ασφαλείας να φτάσουν στο email (αλλά δεν θα αποτρέψει τις ειδοποιήσεις push στο κινητό)

Βήματα για να δημιουργήσετε ένα φίλτρο gmail

(Οδηγίες από εδώ)

Ανοίξτε Gmail.
Στο πλαίσιο αναζήτησης στην κορυφή, κάντε κλικ στην επιλογή Εμφάνιση επιλογών αναζήτησης .
Εισάγετε τα κριτήρια αναζήτησής σας. Εάν θέλετε να ελέγξετε αν η αναζήτησή σας λειτούργησε σωστά, δείτε ποια emails εμφανίζονται κάνοντας κλικ στο Αναζήτηση.
Στο κάτω μέρος του παραθύρου αναζήτησης, κάντε κλικ στο Δημιουργία φίλτρου.
Επιλέξτε τι θα θέλατε να κάνει το φίλτρο.
Κάντε κλικ στο Δημιουργία φίλτρου.

Ελέγξτε το τρέχον φίλτρο σας (για να τα διαγράψετε) στο https://mail.google.com/mail/u/0/#settings/filters

Δημιουργήστε διεύθυνση προώθησης για να προωθήσετε ευαίσθητες πληροφορίες (ή τα πάντα) - Χρειάζεστε χειροκίνητη πρόσβαση.
Δημιουργήστε μια διεύθυνση προώθησης στο https://mail.google.com/mail/u/2/#settings/fwdandpop
Η διεύθυνση παραλαβής θα χρειαστεί να επιβεβαιώσει αυτό
Στη συνέχεια, ρυθμίστε να προωθούνται όλα τα emails διατηρώντας ένα αντίγραφο (θυμηθείτε να κάνετε κλικ στην αποθήκευση αλλαγών):

Είναι επίσης δυνατό να δημιουργήσετε φίλτρα και να προωθήσετε μόνο συγκεκριμένα emails στη διεύθυνση email.

App passwords

Εάν καταφέρατε να συμβιβάσετε μια συνεδρία χρήστη της Google και ο χρήστης είχε 2FA, μπορείτε να δημιουργήσετε έναν κωδικό πρόσβασης εφαρμογής (ακολουθήστε τον σύνδεσμο για να δείτε τα βήματα). Σημειώστε ότι οι κωδικοί πρόσβασης εφαρμογής δεν συνιστώνται πλέον από την Google και ανακαλούνται όταν ο χρήστης αλλάξει τον κωδικό πρόσβασης του λογαριασμού Google.

Ακόμη και αν έχετε ανοιχτή συνεδρία, θα χρειαστεί να γνωρίζετε τον κωδικό πρόσβασης του χρήστη για να δημιουργήσετε έναν κωδικό πρόσβασης εφαρμογής.

Οι κωδικοί πρόσβασης εφαρμογής μπορούν να χρησιμοποιηθούν μόνο με λογαριασμούς που έχουν ενεργοποιημένη την Επιβεβαίωση Δύο Βημάτων.

Αλλαγή 2-FA και παρόμοια

Είναι επίσης δυνατό να απενεργοποιήσετε την 2-FA ή να εγγραφείτε μια νέα συσκευή (ή αριθμό τηλεφώνου) σε αυτή τη σελίδα https://myaccount.google.com/security. Είναι επίσης δυνατό να δημιουργήσετε κωδικούς πρόσβασης (προσθέστε τη δική σας συσκευή), να αλλάξετε τον κωδικό πρόσβασης, να προσθέσετε αριθμούς κινητών για τηλέφωνα επαλήθευσης και αποκατάστασης, να αλλάξετε το email αποκατάστασης και να αλλάξετε τις ερωτήσεις ασφαλείας).

Για να αποτρέψετε τις ειδοποιήσεις push ασφαλείας να φτάσουν στο τηλέφωνο του χρήστη, θα μπορούσατε να αποσυνδέσετε το smartphone του (αν και αυτό θα ήταν περίεργο) γιατί δεν μπορείτε να τον συνδέσετε ξανά από εδώ.

Είναι επίσης δυνατό να εντοπίσετε τη συσκευή.

Ακόμη και αν έχετε ανοιχτή συνεδρία, θα χρειαστεί να γνωρίζετε τον κωδικό πρόσβασης του χρήστη για να αλλάξετε αυτές τις ρυθμίσεις.

Persistence via OAuth Apps

Εάν έχετε συμβιβάσει τον λογαριασμό ενός χρήστη, μπορείτε απλά να αποδεχθείτε να παραχωρήσετε όλες τις δυνατές άδειες σε μια OAuth App. Το μόνο πρόβλημα είναι ότι το Workspace μπορεί να ρυθμιστεί ώστε να απαγορεύει τις μη ελεγμένες εξωτερικές και/ή εσωτερικές εφαρμογές OAuth. Είναι αρκετά συνηθισμένο για τις Οργανώσεις Workspace να μην εμπιστεύονται από προεπιλογή τις εξωτερικές εφαρμογές OAuth αλλά να εμπιστεύονται τις εσωτερικές, οπότε αν έχετε αρκετές άδειες για να δημιουργήσετε μια νέα εφαρμογή OAuth μέσα στην οργάνωση και οι εξωτερικές εφαρμογές είναι απαγορευμένες, δημιουργήστε την και χρησιμοποιήστε αυτή τη νέα εσωτερική εφαρμογή OAuth για να διατηρήσετε την επιμονή.

Ελέγξτε την παρακάτω σελίδα για περισσότερες πληροφορίες σχετικά με τις εφαρμογές OAuth:

GWS - Google Platforms Phishing

Persistence via delegation

Μπορείτε απλά να αντιπροσωπεύσετε τον λογαριασμό σε έναν διαφορετικό λογαριασμό που ελέγχεται από τον επιτιθέμενο (εάν σας επιτρέπεται να το κάνετε αυτό). Σε Οργανώσεις Workspace αυτή η επιλογή πρέπει να είναι ενεργοποιημένη. Μπορεί να είναι απενεργοποιημένη για όλους, ενεργοποιημένη για ορισμένους χρήστες/ομάδες ή για όλους (συνήθως είναι μόνο ενεργοποιημένη για ορισμένους χρήστες/ομάδες ή εντελώς απενεργοποιημένη).

Εάν είστε διαχειριστής Workspace ελέγξτε αυτό για να ενεργοποιήσετε τη δυνατότητα

(Πληροφορίες αντιγραμμένες από τα έγγραφα)

Ως διαχειριστής της οργάνωσής σας (για παράδειγμα, της δουλειάς ή του σχολείου σας), ελέγχετε εάν οι χρήστες μπορούν να αντιπροσωπεύσουν την πρόσβαση στον λογαριασμό Gmail τους. Μπορείτε να επιτρέψετε σε όλους να έχουν την επιλογή να αντιπροσωπεύσουν τον λογαριασμό τους. Ή, να επιτρέψετε μόνο σε άτομα σε ορισμένα τμήματα να ρυθμίσουν την αντιπροσώπευση. Για παράδειγμα, μπορείτε να:

Προσθέσετε έναν διοικητικό βοηθό ως αντιπρόσωπο στον λογαριασμό Gmail σας ώστε να μπορεί να διαβάσει και να στείλει email εκ μέρους σας.
Προσθέσετε μια ομάδα, όπως το τμήμα πωλήσεών σας, στις Ομάδες ως αντιπρόσωπο για να δώσετε σε όλους πρόσβαση σε έναν λογαριασμό Gmail.

Οι χρήστες μπορούν να αντιπροσωπεύσουν την πρόσβαση μόνο σε έναν άλλο χρήστη στην ίδια οργάνωση, ανεξάρτητα από το τομέα τους ή την οργανωτική τους μονάδα.

Όρια & περιορισμοί αντιπροσώπευσης

Επιτρέψτε στους χρήστες να παραχωρούν πρόσβαση στο ταχυδρομείο τους σε μια ομάδα Google επιλογή: Για να χρησιμοποιήσετε αυτή την επιλογή, πρέπει να είναι ενεργοποιημένη για την OU του αντιπροσωπευόμενου λογαριασμού και για την OU κάθε μέλους της ομάδας. Τα μέλη της ομάδας που ανήκουν σε μια OU χωρίς αυτή την επιλογή ενεργοποιημένη δεν μπορούν να έχουν πρόσβαση στον αντιπροσωπευόμενο λογαριασμό.
Με τυπική χρήση, 40 αντιπρόσωποι μπορούν να έχουν πρόσβαση σε έναν λογαριασμό Gmail ταυτόχρονα. Η πάνω από τη μέση χρήση από έναν ή περισσότερους αντιπροσώπους μπορεί να μειώσει αυτόν τον αριθμό.
Αυτοματοποιημένες διαδικασίες που έχουν συχνά πρόσβαση στο Gmail μπορεί επίσης να μειώσουν τον αριθμό των αντιπροσώπων που μπορούν να έχουν πρόσβαση σε έναν λογαριασμό ταυτόχρονα. Αυτές οι διαδικασίες περιλαμβάνουν APIs ή επεκτάσεις προγράμματος περιήγησης που έχουν συχνά πρόσβαση στο Gmail.
Ένας μόνο λογαριασμός Gmail υποστηρίζει έως 1.000 μοναδικούς αντιπροσώπους. Μια ομάδα στις Ομάδες μετράει ως ένας αντιπρόσωπος προς το όριο.
Η αντιπροσώπευση δεν αυξάνει τα όρια για έναν λογαριασμό Gmail. Οι λογαριασμοί Gmail με αντιπροσώπους έχουν τα τυπικά όρια και πολιτικές του λογαριασμού Gmail. Για λεπτομέρειες, επισκεφθείτε Τα όρια και οι πολιτικές του Gmail.

Βήμα 1: Ενεργοποιήστε την αντιπροσώπευση Gmail για τους χρήστες σας

Πριν ξεκινήσετε: Για να εφαρμόσετε τη ρύθμιση για ορισμένους χρήστες, τοποθετήστε τους λογαριασμούς τους σε μια οργανωτική μονάδα.

Συνδεθείτε στην κονσόλα διαχείρισης Google.

Εμφάνιση του κατόχου του λογαριασμού και του αντιπροσώπου που έστειλε το email—Τα μηνύματα περιλαμβάνουν τις διευθύνσεις email του κατόχου του λογαριασμού Gmail και του αντιπροσώπου.
Εμφάνιση μόνο του κατόχου του λογαριασμού—Τα μηνύματα περιλαμβάνουν τη διεύθυνση email μόνο του κατόχου του λογαριασμού Gmail. Η διεύθυνση email του αντιπροσώπου δεν περιλαμβάνεται.

(Προαιρετικά) Για να επιτρέψετε στους χρήστες να προσθέσουν μια ομάδα στις Ομάδες ως αντιπρόσωπο, ελέγξτε το πλαίσιο Επιτρέψτε στους χρήστες να παραχωρούν πρόσβαση στο ταχυδρομείο τους σε μια ομάδα Google.
Κάντε κλικ στο Αποθήκευση. Εάν ρυθμίσατε μια παιδική οργανωτική μονάδα, μπορεί να μπορείτε να κληρονομήσετε ή να αντικαταστήσετε τις ρυθμίσεις μιας γονικής οργανωτικής μονάδας.
(Προαιρετικά) Για να ενεργοποιήσετε την αντιπροσώπευση Gmail για άλλες οργανωτικές μονάδες, επαναλάβετε τα βήματα 3–9.

Οι αλλαγές μπορεί να διαρκέσουν έως 24 ώρες αλλά συνήθως συμβαίνουν πιο γρήγορα. Μάθετε περισσότερα

Βήμα 2: Αφήστε τους χρήστες να ρυθμίσουν αντιπροσώπους για τους λογαριασμούς τους

Αφού ενεργοποιήσετε την αντιπροσώπευση, οι χρήστες σας πηγαίνουν στις ρυθμίσεις Gmail τους για να αναθέσουν αντιπροσώπους. Οι αντιπρόσωποι μπορούν στη συνέχεια να διαβάσουν, να στείλουν και να λάβουν μηνύματα εκ μέρους του χρήστη.

Για λεπτομέρειες, κατευθύνετε τους χρήστες στο Αντιπροσώπευση και συνεργασία μέσω email.

Από έναν κανονικό χρήστη, ελέγξτε εδώ τις οδηγίες για να προσπαθήσετε να αντιπροσωπεύσετε την πρόσβασή σας

(Πληροφορίες αντιγραμμένες από τα έγγραφα)

Μπορείτε να προσθέσετε έως 10 αντιπροσώπους.

Εάν χρησιμοποιείτε το Gmail μέσω της δουλειάς σας, του σχολείου σας ή άλλης οργάνωσης:

Μπορείτε να προσθέσετε έως 1000 αντιπροσώπους εντός της οργάνωσής σας.
Με τυπική χρήση, 40 αντιπρόσωποι μπορούν να έχουν πρόσβαση σε έναν λογαριασμό Gmail ταυτόχρονα.
Εάν χρησιμοποιείτε αυτοματοποιημένες διαδικασίες, όπως APIs ή επεκτάσεις προγράμματος περιήγησης, μερικοί αντιπρόσωποι μπορούν να έχουν πρόσβαση σε έναν λογαριασμό Gmail ταυτόχρονα.

Στον υπολογιστή σας, ανοίξτε Gmail. Δεν μπορείτε να προσθέσετε αντιπροσώπους από την εφαρμογή Gmail.
Κάντε κλικ στην καρτέλα Λογαριασμοί και Εισαγωγή ή Λογαριασμοί.
Στην ενότητα "Παραχώρηση πρόσβασης στον λογαριασμό σας", κάντε κλικ στο Προσθήκη άλλου λογαριασμού. Εάν χρησιμοποιείτε το Gmail μέσω της δουλειάς ή του σχολείου σας, η οργάνωσή σας μπορεί να περιορίσει την αντιπροσώπευση email. Εάν δεν βλέπετε αυτή τη ρύθμιση, επικοινωνήστε με τον διαχειριστή σας.

Εάν δεν βλέπετε την παραχώρηση πρόσβασης στον λογαριασμό σας, τότε είναι περιορισμένη.

Εισάγετε τη διεύθυνση email του ατόμου που θέλετε να προσθέσετε. Εάν χρησιμοποιείτε το Gmail μέσω της δουλειάς σας, του σχολείου σας ή άλλης οργάνωσης, και ο διαχειριστής σας το επιτρέπει, μπορείτε να εισάγετε τη διεύθυνση email μιας ομάδας. Αυτή η ομάδα πρέπει να έχει τον ίδιο τομέα με την οργάνωσή σας. Εξωτερικά μέλη της ομάδας απορρίπτονται από την πρόσβαση αντιπροσώπευσης. Σημαντικό: Εάν ο λογαριασμός που αντιπροσωπεύετε είναι νέος λογαριασμός ή ο κωδικός πρόσβασης έχει επαναρυθμιστεί, ο διαχειριστής πρέπει να απενεργοποιήσει την απαίτηση αλλαγής κωδικού πρόσβασης όταν συνδεθείτε για πρώτη φορά.

Το άτομο που προσθέσατε θα λάβει ένα email ζητώντας του να επιβεβαιώσει. Η πρόσκληση λήγει μετά από μια εβδομάδα.

Εάν προσθέσατε μια ομάδα, όλα τα μέλη της ομάδας θα γίνουν αντιπρόσωποι χωρίς να χρειάζεται να επιβεβαιώσουν.

Σημείωση: Μπορεί να χρειαστούν έως 24 ώρες για να αρχίσει να ισχύει η αντιπροσώπευση.

Persistence via Android App

Εάν έχετε μια συνεδρία μέσα στον λογαριασμό Google του θύματος μπορείτε να περιηγηθείτε στο Play Store και μπορεί να είστε σε θέση να εγκαταστήσετε κακόβουλο λογισμικό που έχετε ήδη ανεβάσει στο κατάστημα απευθείας στο τηλέφωνο για να διατηρήσετε την επιμονή και να αποκτήσετε πρόσβαση στο τηλέφωνο του θύματος.

Persistence via App Scripts

Μπορείτε να δημιουργήσετε χρονικά βασισμένα triggers σε App Scripts, έτσι ώστε αν το App Script γίνει αποδεκτό από τον χρήστη, θα ενεργοποιηθεί ακόμη και χωρίς να έχει πρόσβαση ο χρήστης σε αυτό. Για περισσότερες πληροφορίες σχετικά με το πώς να το κάνετε αυτό, ελέγξτε:

GWS - App Scripts

References

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?

Support HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousGWS - Post Exploitation NextGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)

Last updated 3 days ago