GWS - Persistence

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Sve radnje navedene u ovom odeljku koje menjaju postavke generisaće bezbednosno obaveštenje na email i čak push obaveštenje na bilo koji mobilni uređaj sinhronizovan sa nalogom.

Persistencija u Gmail-u

Možete kreirati filtre za skrivanje bezbednosnih obaveštenja od Google-a
from: (no-reply@accounts.google.com) "Security Alert"
Ovo će sprečiti bezbednosne emailove da stignu na email (ali neće sprečiti push obaveštenja na mobilni)

Koraci za kreiranje gmail filtera

(Uputstva ovde)

Otvorite Gmail.
U pretraživaču na vrhu, kliknite na Prikaži opcije pretrage .
Unesite svoje kriterijume pretrage. Ako želite da proverite da li je vaša pretraga ispravno funkcionisala, pogledajte koji emailovi se pojavljuju klikom na Pretraži.
Na dnu prozora pretrage, kliknite na Kreiraj filter.
Izaberite šta želite da filter radi.
Kliknite na Kreiraj filter.

Proverite svoj trenutni filter (da ih obrišete) na https://mail.google.com/mail/u/0/#settings/filters

Kreirajte adresu za prosleđivanje kako biste prosledili osetljive informacije (ili sve) - Potrebno je ručno pristupiti.
Kreirajte adresu za prosleđivanje na https://mail.google.com/mail/u/2/#settings/fwdandpop
Primalac će morati da potvrdi ovo
Zatim, postavite da prosledite sve emailove dok zadržavate kopiju (zapamtite da kliknete na sačuvaj promene):

Takođe je moguće kreirati filtre i proslediti samo određene emailove na drugu email adresu.

App lozinke

Ako ste uspeli da kompromitujete sesiju google korisnika i korisnik je imao 2FA, možete generisati app lozinku (pratite link da vidite korake). Imajte na umu da App lozinke više nisu preporučene od strane Google-a i biće opozvane kada korisnik promeni lozinku svog Google naloga.

Čak i ako imate otvorenu sesiju, moraćete da znate lozinku korisnika da biste kreirali app lozinku.

App lozinke se mogu koristiti samo sa nalozima koji imaju uključenu 2-Step Verification.

Promena 2-FA i slično

Takođe je moguće isključiti 2-FA ili registrovati novi uređaj (ili broj telefona) na ovoj stranici https://myaccount.google.com/security. Takođe je moguće generisati ključeve (dodati svoj uređaj), promeniti lozinku, dodati mobilne brojeve za verifikacione telefone i oporavak, promeniti email za oporavak i promeniti bezbednosna pitanja).

Da biste sprečili bezbednosna push obaveštenja da stignu na telefon korisnika, mogli biste izlogovati njegov pametan telefon (iako bi to bilo čudno) jer ne možete ponovo da ga prijavite odavde.

Takođe je moguće locirati uređaj.

Čak i ako imate otvorenu sesiju, moraćete da znate lozinku korisnika da biste promenili ove postavke.

Persistencija putem OAuth aplikacija

Ako ste kompromitovali nalog korisnika, možete jednostavno prihvatiti da dodelite sve moguće dozvole OAuth aplikaciji. Jedini problem je što Workspace može biti podešen da onemogući neproverene spoljne i/ili interne OAuth aplikacije. Prilično je uobičajeno da Workspace organizacije po defaultu ne veruju spoljnim OAuth aplikacijama, ali veruju internim, tako da ako imate dovoljno dozvola da generišete novu OAuth aplikaciju unutar organizacije i spoljne aplikacije su onemogućene, generišite je i koristite tu novu internu OAuth aplikaciju da održite persistenciju.

Proverite sledeću stranicu za više informacija o OAuth aplikacijama:

GWS - Google Platforms Phishing

Persistencija putem delegacije

Možete jednostavno delegirati nalog na drugi nalog koji kontroliše napadač (ako vam je to dozvoljeno). U Workspace organizacijama ova opcija mora biti omogućena. Može biti onemogućena za sve, omogućena za neke korisnike/grupe ili za sve (obično je samo omogućena za neke korisnike/grupe ili potpuno onemogućena).

Ako ste Workspace administrator, proverite ovo da omogućite funkciju

(Informacije kopirane iz dokumenata)

Kao administrator vaše organizacije (na primer, vaše posla ili škole), kontrolišete da li korisnici mogu delegirati pristup svom Gmail nalogu. Možete dozvoliti svima da imaju opciju da delegiraju svoj nalog. Ili, samo dozvoliti ljudima u određenim odeljenjima da postave delegaciju. Na primer, možete:

Dodati administrativnog asistenta kao delegata na vašem Gmail nalogu kako bi mogli da čitaju i šalju emailove u vaše ime.
Dodati grupu, kao što je vaše prodajno odeljenje, u Grupe kao delegata da svima omogući pristup jednom Gmail nalogu.

Korisnici mogu delegirati pristup samo drugom korisniku u istoj organizaciji, bez obzira na njihovu domenu ili organizacionu jedinicu.

Ograničenja i restrikcije delegacije

Dozvolite korisnicima da dodele pristup svojoj pošti Google grupi opcija: Da biste koristili ovu opciju, mora biti omogućena za OU delegiranog naloga i za OU svakog člana grupe. Članovi grupe koji pripadaju OU bez ove opcije omogućene ne mogu pristupiti delegiranom nalogu.
Sa tipičnom upotrebom, 40 delegiranih korisnika može pristupiti Gmail nalogu u isto vreme. Iznadprosečna upotreba od strane jednog ili više delegata može smanjiti ovaj broj.
Automatizovani procesi koji često pristupaju Gmail-u takođe mogu smanjiti broj delegata koji mogu pristupiti nalogu u isto vreme. Ovi procesi uključuju API-je ili ekstenzije pretraživača koje često pristupaju Gmail-u.
Jedan Gmail nalog podržava do 1.000 jedinstvenih delegata. Grupa u Grupama se računa kao jedan delegat prema limitu.
Delegacija ne povećava limite za Gmail nalog. Gmail nalozi sa delegiranim korisnicima imaju standardne limite i politike Gmail-a. Za detalje, posetite Gmail limite i politike.

Korak 1: Uključite Gmail delegaciju za svoje korisnike

Pre nego što počnete: Da biste primenili postavku za određene korisnike, stavite njihove naloge u organizacionu jedinicu.

Prijavite se na vašu Google Admin konzolu.

Prikaži vlasnika naloga i delegata koji je poslao email—Poruke uključuju email adrese vlasnika Gmail naloga i delegata.
Prikaži samo vlasnika naloga—Poruke uključuju email adresu samo vlasnika Gmail naloga. Email adresa delegata nije uključena.

(Opcionalno) Da biste dozvolili korisnicima da dodaju grupu u Grupama kao delegata, proverite Dozvolite korisnicima da dodele pristup svojoj pošti Google grupi kutiju.
Kliknite na Sačuvaj. Ako ste konfigurisali pod organizacionu jedinicu, možda ćete moći da Nasledite ili Zamenite postavke roditeljske organizacione jedinice.
(Opcionalno) Da biste uključili Gmail delegaciju za druge organizacione jedinice, ponovite korake 3–9.

Promene mogu potrajati do 24 sata, ali obično se dešavaju brže. Saznajte više

Korak 2: Neka korisnici postave delegate za svoje naloge

Nakon što uključite delegaciju, vaši korisnici idu na svoja Gmail podešavanja da dodele delegate. Delegati tada mogu čitati, slati i primati poruke u ime korisnika.

Za detalje, uputite korisnike na Delegiranje i saradnja na emailu.

Od običnog korisnika, proverite ovde uputstva da pokušate da delegirate svoj pristup

(Info kopirana iz dokumenata)

Možete dodati do 10 delegata.

Ako koristite Gmail preko svog posla, škole ili druge organizacije:

Možete dodati do 1000 delegata unutar vaše organizacije.
Sa tipičnom upotrebom, 40 delegata može pristupiti Gmail nalogu u isto vreme.
Ako koristite automatizovane procese, kao što su API-ji ili ekstenzije pretraživača, nekoliko delegata može pristupiti Gmail nalogu u isto vreme.

Na svom računaru, otvorite Gmail. Ne možete dodati delegate iz Gmail aplikacije.
Kliknite na Nalozi i uvoz ili Nalozi tab.
U sekciji "Dodeli pristup svom nalogu", kliknite na Dodaj drugi nalog. Ako koristite Gmail preko svog posla ili škole, vaša organizacija može ograničiti delegaciju emaila. Ako ne vidite ovu postavku, kontaktirajte svog administratora.

Ako ne vidite Dodeli pristup svom nalogu, onda je to ograničeno.

Unesite email adresu osobe koju želite da dodate. Ako koristite Gmail preko svog posla, škole ili druge organizacije, i vaš administrator to dozvoljava, možete uneti email adresu grupe. Ova grupa mora imati istu domenu kao vaša organizacija. Spoljni članovi grupe su odbijeni pristup delegaciji. Važno: Ako je nalog koji delegirate novi nalog ili je lozinka resetovana, administrator mora isključiti zahtev za promenu lozinke kada se prvi put prijavite.

Osoba koju ste dodali će dobiti email u kojem se traži da potvrdi. Poziv važi nedelju dana.

Ako ste dodali grupu, svi članovi grupe će postati delegati bez potrebe za potvrdom.

Napomena: Može potrajati do 24 sata da delegacija počne da deluje.

Persistencija putem Android aplikacije

Ako imate sesiju unutar google naloga žrtve, možete pretraživati Play Store i možda ćete moći da instalirate malver koji ste već otpremili u prodavnicu direktno na telefon kako biste održali persistenciju i pristupili telefonu žrtve.

Persistencija putem App skripti

Možete kreirati okidače zasnovane na vremenu u App skriptama, tako da ako je App skripta prihvaćena od strane korisnika, biće okidana čak i bez pristupa korisnika. Za više informacija o tome kako to učiniti, proverite:

GWS - App Scripts

Reference

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch i Beau Bullock - OK Google, Kako da Red Team GSuite?

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousGWS - Post Exploitation NextGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)

Last updated 3 days ago