GWS - Persistence
Last updated
Last updated
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Tutte le azioni menzionate in questa sezione che modificano le impostazioni genereranno un avviso di sicurezza all'email e anche una notifica push a qualsiasi dispositivo mobile sincronizzato con l'account.
Puoi creare filtri per nascondere le notifiche di sicurezza da Google
from: (no-reply@accounts.google.com) "Security Alert"
Questo impedirà che le email di sicurezza raggiungano l'email (ma non impedirà le notifiche push sul mobile)
Crea un indirizzo di inoltro per inoltrare informazioni sensibili (o tutto) - Hai bisogno di accesso manuale.
Crea un indirizzo di inoltro in https://mail.google.com/mail/u/2/#settings/fwdandpop
L'indirizzo ricevente dovrà confermare questo
Poi, imposta per inoltrare tutte le email mantenendo una copia (ricorda di cliccare su salva modifiche):
È anche possibile creare filtri e inoltrare solo email specifiche all'altro indirizzo email.
Se sei riuscito a compromettere una sessione utente di Google e l'utente aveva 2FA, puoi generare una password per l'app (segui il link per vedere i passaggi). Nota che le password per le app non sono più raccomandate da Google e vengono revocate quando l'utente cambia la password del suo account Google.
Anche se hai una sessione aperta, dovrai conoscere la password dell'utente per creare una password per l'app.
Le password per le app possono essere utilizzate solo con account che hanno la Verifica in due passaggi attivata.
È anche possibile disattivare 2-FA o registrare un nuovo dispositivo (o numero di telefono) in questa pagina https://myaccount.google.com/security. È anche possibile generare chiavi di accesso (aggiungere il proprio dispositivo), cambiare la password, aggiungere numeri di telefono per telefoni di verifica e recupero, cambiare l'email di recupero e cambiare le domande di sicurezza).
Per prevenire le notifiche push di sicurezza che raggiungano il telefono dell'utente, potresti disconnettere il suo smartphone (anche se sarebbe strano) perché non puoi riconnetterlo da qui.
È anche possibile localizzare il dispositivo.
Anche se hai una sessione aperta, dovrai conoscere la password dell'utente per cambiare queste impostazioni.
Se hai compromesso l'account di un utente, puoi semplicemente accettare di concedere tutti i permessi possibili a un OAuth App. L'unico problema è che Workspace può essere configurato per disabilitare app OAuth esterne e/o interne non revisionate. È abbastanza comune che le organizzazioni di Workspace non si fidino per impostazione predefinita delle app OAuth esterne ma si fidino di quelle interne, quindi se hai sufficienti permessi per generare una nuova applicazione OAuth all'interno dell'organizzazione e le app esterne sono disabilitate, generala e usa quella nuova app OAuth interna per mantenere la persistenza.
Controlla la seguente pagina per ulteriori informazioni sulle app OAuth:
Puoi semplicemente delegare l'account a un altro account controllato dall'attaccante (se ti è permesso farlo). In Workspace Organizzazioni questa opzione deve essere abilitata. Può essere disabilitata per tutti, abilitata per alcuni utenti/gruppi o per tutti (di solito è abilitata solo per alcuni utenti/gruppi o completamente disabilitata).
Se hai una sessione all'interno dell'account Google della vittima puoi navigare nel Play Store e potresti essere in grado di installare malware che hai già caricato nel negozio direttamente sul telefono per mantenere la persistenza e accedere al telefono della vittima.
Puoi creare trigger basati sul tempo in App Scripts, quindi se lo Script dell'app è accettato dall'utente, verrà attivato anche senza che l'utente vi acceda. Per ulteriori informazioni su come fare questo controlla:
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch e Beau Bullock - OK Google, come faccio a Red Team GSuite?
Accedi utilizzando un account amministratore, non il tuo attuale account CarlosPolop@gmail.com 2. Nella console di amministrazione, vai su Menu AppGoogle WorkspaceGmailImpostazioni utente. 3. Per applicare l'impostazione a tutti, lascia selezionata l'unità organizzativa principale. Altrimenti, seleziona un'unità organizzativa secondaria. 4. Clicca su Delega email. 5. Spunta la casella Consenti agli utenti di delegare l'accesso alla loro casella di posta ad altri utenti nel dominio. 6. (Facoltativo) Per consentire agli utenti di specificare quali informazioni del mittente sono incluse nei messaggi delegati inviati dal loro account, spunta la casella Consenti agli utenti di personalizzare questa impostazione. 7. Seleziona un'opzione per le informazioni del mittente predefinite incluse nei messaggi inviati dai delegati:
In alto a destra, clicca su Impostazioni Vedi tutte le impostazioni.
Clicca su Passaggio successivo Invia email per concedere accesso.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)