GWS - Persistence
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Todas las acciones mencionadas en esta sección que cambian la configuración generarán una alerta de seguridad al correo electrónico e incluso una notificación push a cualquier móvil sincronizado con la cuenta.
Puedes crear filtros para ocultar notificaciones de seguridad de Google
from: (no-reply@accounts.google.com) "Security Alert"
Esto evitará que los correos electrónicos de seguridad lleguen al correo (pero no evitará las notificaciones push al móvil)
Crea una dirección de reenvío para reenviar información sensible (o todo) - Necesitas acceso manual.
Crea una dirección de reenvío en https://mail.google.com/mail/u/2/#settings/fwdandpop
La dirección receptora deberá confirmar esto
Luego, configura para reenviar todos los correos mientras mantienes una copia (recuerda hacer clic en guardar cambios):
También es posible crear filtros y reenviar solo correos específicos a la otra dirección de correo.
Si lograste comprometer una sesión de usuario de Google y el usuario tenía 2FA, puedes generar una contraseña de aplicación (sigue el enlace para ver los pasos). Ten en cuenta que las contraseñas de aplicación ya no son recomendadas por Google y son revocadas cuando el usuario cambia su contraseña de Google Account.
Incluso si tienes una sesión abierta, necesitarás conocer la contraseña del usuario para crear una contraseña de aplicación.
Las contraseñas de aplicación solo se pueden usar con cuentas que tienen la Verificación en 2 Pasos activada.
También es posible desactivar 2-FA o inscribir un nuevo dispositivo (o número de teléfono) en esta página https://myaccount.google.com/security. También es posible generar claves de acceso (agregar tu propio dispositivo), cambiar la contraseña, agregar números móviles para teléfonos de verificación y recuperación, cambiar el correo electrónico de recuperación y cambiar las preguntas de seguridad).
Para evitar que las notificaciones push de seguridad lleguen al teléfono del usuario, podrías cerrar sesión en su smartphone (aunque eso sería raro) porque no puedes volver a iniciar sesión desde aquí.
También es posible localizar el dispositivo.
Incluso si tienes una sesión abierta, necesitarás conocer la contraseña del usuario para cambiar estas configuraciones.
Si has comprometido la cuenta de un usuario, puedes simplemente aceptar otorgar todos los permisos posibles a una aplicación OAuth. El único problema es que Workspace puede estar configurado para no permitir aplicaciones OAuth externas y/o internas no revisadas. Es bastante común que las organizaciones de Workspace no confíen por defecto en aplicaciones OAuth externas, pero confíen en las internas, así que si tienes suficientes permisos para generar una nueva aplicación OAuth dentro de la organización y las aplicaciones externas están deshabilitadas, créala y usa esa nueva aplicación OAuth interna para mantener la persistencia.
Consulta la siguiente página para más información sobre aplicaciones OAuth:
GWS - Google Platforms PhishingPuedes simplemente delegar la cuenta a una cuenta diferente controlada por el atacante (si se te permite hacer esto). En las Organizaciones de Workspace esta opción debe estar habilitada. Puede estar deshabilitada para todos, habilitada para algunos usuarios/grupos o para todos (generalmente solo está habilitada para algunos usuarios/grupos o completamente deshabilitada).
Si tienes una sesión dentro de la cuenta de Google de la víctima, puedes navegar a la Play Store y podrías ser capaz de instalar malware que ya has subido a la tienda directamente en el teléfono para mantener la persistencia y acceder al teléfono de la víctima.
Puedes crear disparadores basados en tiempo en Scripts de Aplicación, así que si el Script de Aplicación es aceptado por el usuario, se activará incluso sin que el usuario acceda a él. Para más información sobre cómo hacer esto, consulta:
GWS - App Scriptshttps://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch y Beau Bullock - OK Google, ¿Cómo hago un Red Team en GSuite?
Inicia sesión usando una cuenta de administrador, no tu cuenta actual CarlosPolop@gmail.com 2. En la consola de administración, ve a Menú AplicacionesGoogle WorkspaceGmailConfiguración de usuario. 3. Para aplicar la configuración a todos, deja seleccionada la unidad organizativa superior. De lo contrario, selecciona una unidad organizativa secundaria. 4. Haz clic en Delegación de correo. 5. Marca la casilla Permitir a los usuarios delegar acceso a su buzón a otros usuarios en el dominio. 6. (Opcional) Para permitir a los usuarios especificar qué información del remitente se incluye en los mensajes delegados enviados desde su cuenta, marca la casilla Permitir a los usuarios personalizar esta configuración. 7. Selecciona una opción para la información del remitente predeterminada que se incluye en los mensajes enviados por los delegados:
En la parte superior derecha, haz clic en Configuración Ver toda la configuración.
6. Haz clic en Siguiente paso Enviar correo para otorgar acceso.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)