GWS - Persistence

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.

Tutte le azioni menzionate in questa sezione che cambiano le impostazioni genereranno un avviso di sicurezza all'email e anche una notifica push a qualsiasi dispositivo mobile sincronizzato con l'account.

Persistenza in Gmail

Puoi creare filtri per nascondere le notifiche di sicurezza da Google
from: (no-reply@accounts.google.com) "Security Alert"
Questo impedirà che le email di sicurezza raggiungano l'email (ma non impedirà le notifiche push sul mobile)

Passaggi per creare un filtro gmail

(Istruzioni da qui)

Apri Gmail.
Nella casella di ricerca in alto, clicca su Mostra opzioni di ricerca .
Inserisci i tuoi criteri di ricerca. Se vuoi controllare che la tua ricerca abbia funzionato correttamente, guarda quali email appaiono cliccando su Cerca.
In fondo alla finestra di ricerca, clicca su Crea filtro.
Scegli cosa vuoi che faccia il filtro.
Clicca su Crea filtro.

Controlla il tuo filtro attuale (per eliminarli) in https://mail.google.com/mail/u/0/#settings/filters

Crea un indirizzo di inoltro per inoltrare informazioni sensibili (o tutto) - Hai bisogno di accesso manuale.
Crea un indirizzo di inoltro in https://mail.google.com/mail/u/2/#settings/fwdandpop
L'indirizzo ricevente dovrà confermare questo
Poi, imposta per inoltrare tutte le email mantenendo una copia (ricorda di cliccare su salva modifiche):

È anche possibile creare filtri e inoltrare solo email specifiche all'altro indirizzo email.

Password per le app

Se sei riuscito a compromettere una sessione utente di Google e l'utente aveva 2FA, puoi generare una password per l'app (segui il link per vedere i passaggi). Nota che le password per le app non sono più raccomandate da Google e vengono revocate quando l'utente cambia la password del suo account Google.

Anche se hai una sessione aperta, dovrai conoscere la password dell'utente per creare una password per l'app.

Le password per le app possono essere utilizzate solo con account che hanno attivato la Verifica in due passaggi.

Cambiare 2-FA e simili

È anche possibile disattivare 2-FA o registrare un nuovo dispositivo (o numero di telefono) in questa pagina https://myaccount.google.com/security. È anche possibile generare chiavi di accesso (aggiungere il proprio dispositivo), cambiare la password, aggiungere numeri di telefono per telefoni di verifica e recupero, cambiare l'email di recupero e cambiare le domande di sicurezza).

Per prevenire le notifiche push di sicurezza che raggiungano il telefono dell'utente, potresti disconnettere il suo smartphone (anche se sarebbe strano) perché non puoi riconnetterlo da qui.

È anche possibile localizzare il dispositivo.

Anche se hai una sessione aperta, dovrai conoscere la password dell'utente per cambiare queste impostazioni.

Persistenza tramite app OAuth

Se hai compromesso l'account di un utente, puoi semplicemente accettare di concedere tutti i permessi possibili a un OAuth App. L'unico problema è che Workspace può essere configurato per disabilitare app OAuth esterne e/o interne non revisionate. È abbastanza comune che le organizzazioni di Workspace non si fidino per impostazione predefinita delle app OAuth esterne ma si fidino di quelle interne, quindi se hai sufficienti permessi per generare una nuova applicazione OAuth all'interno dell'organizzazione e le app esterne sono disabilitate, generala e usa quella nuova app OAuth interna per mantenere la persistenza.

Controlla la seguente pagina per ulteriori informazioni sulle app OAuth:

GWS - Google Platforms Phishing

Persistenza tramite delega

Puoi semplicemente delegare l'account a un altro account controllato dall'attaccante (se ti è permesso farlo). In Organizzazioni di Workspace questa opzione deve essere abilitata. Può essere disabilitata per tutti, abilitata per alcuni utenti/gruppi o per tutti (di solito è abilitata solo per alcuni utenti/gruppi o completamente disabilitata).

Se sei un amministratore di Workspace controlla qui per abilitare la funzione

(Informazioni copiate dalla documentazione)

Come amministratore della tua organizzazione (ad esempio, il tuo lavoro o la tua scuola), controlli se gli utenti possono delegare l'accesso al loro account Gmail. Puoi consentire a tutti di avere l'opzione di delegare il proprio account. Oppure, consentire solo a persone in determinati dipartimenti di impostare la delega. Ad esempio, puoi:

Aggiungere un assistente amministrativo come delegato sul tuo account Gmail in modo che possa leggere e inviare email per tuo conto.
Aggiungere un gruppo, come il tuo dipartimento vendite, in Gruppi come delegato per dare a tutti accesso a un account Gmail.

Gli utenti possono delegare l'accesso solo a un altro utente nella stessa organizzazione, indipendentemente dal loro dominio o dalla loro unità organizzativa.

Limiti e restrizioni della delega

Consenti agli utenti di concedere accesso alla loro casella di posta a un gruppo Google opzione: Per utilizzare questa opzione, deve essere abilitata per l'OU dell'account delegato e per l'OU di ciascun membro del gruppo. I membri del gruppo che appartengono a un'OU senza questa opzione abilitata non possono accedere all'account delegato.
Con un uso tipico, 40 utenti delegati possono accedere a un account Gmail contemporaneamente. Un uso superiore alla media da parte di uno o più delegati potrebbe ridurre questo numero.
I processi automatizzati che accedono frequentemente a Gmail potrebbero anche ridurre il numero di delegati che possono accedere a un account contemporaneamente. Questi processi includono API o estensioni del browser che accedono frequentemente a Gmail.
Un singolo account Gmail supporta fino a 1.000 delegati unici. Un gruppo in Gruppi conta come un delegato verso il limite.
La delega non aumenta i limiti per un account Gmail. Gli account Gmail con utenti delegati hanno i limiti e le politiche standard degli account Gmail. Per dettagli, visita Limiti e politiche di Gmail.

Passaggio 1: Attiva la delega di Gmail per i tuoi utenti

Prima di iniziare: Per applicare l'impostazione a determinati utenti, metti i loro account in un 'unità organizzativa'.

Accedi alla tua console di amministrazione Google.

Mostra il proprietario dell'account e il delegato che ha inviato l'email—I messaggi includono gli indirizzi email del proprietario dell'account Gmail e del delegato.
Mostra solo il proprietario dell'account—I messaggi includono solo l'indirizzo email del proprietario dell'account Gmail. L'indirizzo email del delegato non è incluso.

(Facoltativo) Per consentire agli utenti di aggiungere un gruppo in Gruppi come delegato, spunta la casella Consenti agli utenti di concedere accesso alla loro casella di posta a un gruppo Google.
Clicca su Salva. Se hai configurato un'unità organizzativa secondaria, potresti essere in grado di Eredita o Sovrascrivi le impostazioni di un'unità organizzativa principale.
(Facoltativo) Per attivare la delega di Gmail per altre unità organizzative, ripeti i passaggi 3–9.

Le modifiche possono richiedere fino a 24 ore, ma di solito avvengono più rapidamente. Scopri di più

Passaggio 2: Fai impostare agli utenti i delegati per i loro account

Dopo aver attivato la delega, i tuoi utenti vanno nelle impostazioni di Gmail per assegnare i delegati. I delegati possono quindi leggere, inviare e ricevere messaggi per conto dell'utente.

Per dettagli, indirizza gli utenti a Delegare e collaborare su email.

Da un utente normale, controlla qui le istruzioni per provare a delegare il tuo accesso

(Info copiate dalla documentazione)

Puoi aggiungere fino a 10 delegati.

Se stai usando Gmail tramite il tuo lavoro, scuola o altra organizzazione:

Puoi aggiungere fino a 1000 delegati all'interno della tua organizzazione.
Con un uso tipico, 40 delegati possono accedere a un account Gmail contemporaneamente.
Se utilizzi processi automatizzati, come API o estensioni del browser, alcuni delegati possono accedere a un account Gmail contemporaneamente.

Sul tuo computer, apri Gmail. Non puoi aggiungere delegati dall'app Gmail.
Clicca sulla scheda Account e importazione o Account.
Nella sezione "Concedi accesso al tuo account", clicca su Aggiungi un altro account. Se stai usando Gmail tramite il tuo lavoro o scuola, la tua organizzazione potrebbe limitare la delega email. Se non vedi questa impostazione, contatta il tuo amministratore.

Se non vedi Concedi accesso al tuo account, allora è limitato.

Inserisci l'indirizzo email della persona che vuoi aggiungere. Se stai usando Gmail tramite il tuo lavoro, scuola o altra organizzazione, e il tuo amministratore lo consente, puoi inserire l'indirizzo email di un gruppo. Questo gruppo deve avere lo stesso dominio della tua organizzazione. I membri esterni del gruppo sono negati l'accesso alla delega. Importante: Se l'account che delegi è un nuovo account o la password è stata reimpostata, l'amministratore deve disattivare il requisito di cambiare la password quando accedi per la prima volta.

La persona che hai aggiunto riceverà un'email che le chiede di confermare. L'invito scade dopo una settimana.

Se hai aggiunto un gruppo, tutti i membri del gruppo diventeranno delegati senza dover confermare.

Nota: Potrebbe richiedere fino a 24 ore affinché la delega inizi a prendere effetto.

Persistenza tramite app Android

Se hai una sessione all'interno dell'account Google della vittima puoi navigare nel Play Store e potresti essere in grado di installare malware che hai già caricato nel negozio direttamente sul telefono per mantenere la persistenza e accedere al telefono della vittima.

Persistenza tramite App Scripts

Puoi creare trigger basati sul tempo in App Scripts, quindi se lo Script App è accettato dall'utente, verrà attivato anche senza che l'utente vi acceda. Per ulteriori informazioni su come fare questo controlla:

GWS - App Scripts

Riferimenti

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch e Beau Bullock - OK Google, come faccio a Red Team GSuite?

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.

PreviousGWS - Post Exploitation NextGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)

Last updated 3 days ago