GWS - Persistence

AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live bizi takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Bu bölümde belirtilen ayarları değiştiren tüm eylemler, hesapla senkronize olan herhangi bir mobil cihaza e-posta ve hatta bir push bildirimi gönderecektir.

Gmail'de Süreklilik

Google'dan gelen güvenlik bildirimlerini gizlemek için filtreler oluşturabilirsiniz
from: (no-reply@accounts.google.com) "Security Alert"
Bu, güvenlik e-postalarının e-posta adresine ulaşmasını engelleyecektir (ancak mobil cihazlara push bildirimlerini engellemeyecektir)

Gmail filtresi oluşturma adımları

(Bilgi buradan)

Gmail açın.
Üstteki arama kutusunda, Arama seçeneklerini göster'e tıklayın .
Arama kriterlerinizi girin. Aramanızın doğru çalıştığını kontrol etmek istiyorsanız, Ara'ya tıklayarak hangi e-postaların göründüğüne bakın.
Arama penceresinin altında, Filtre oluştur'a tıklayın.
Filtrenin ne yapmasını istediğinizi seçin.
Filtre oluştur'a tıklayın.

Mevcut filtrenizi kontrol edin (silmek için) https://mail.google.com/mail/u/0/#settings/filters

Hassas bilgileri (veya her şeyi) iletmek için iletim adresi oluşturun - Manuel erişim gereklidir.
https://mail.google.com/mail/u/2/#settings/fwdandpop adresinde bir iletim adresi oluşturun.
Alıcı adresin bunu onaylaması gerekecek.
Ardından, tüm e-postaları iletmek için ayarlayın ve bir kopyasını saklayın (değişiklikleri kaydetmek için tıklamayı unutmayın):

Ayrıca filtreler oluşturmak ve yalnızca belirli e-postaları diğer e-posta adresine iletmek de mümkündür.

Uygulama şifreleri

Eğer bir google kullanıcı oturumunu ele geçirdiyseniz ve kullanıcı 2FA kullanıyorsa, uygulama şifresi üretebilirsiniz (adımları görmek için bağlantıya tıklayın). Uygulama şifreleri artık Google tarafından önerilmemektedir ve kullanıcı Google Hesap şifresini değiştirdiğinde iptal edilmektedir.

Açık bir oturumunuz olsa bile, bir uygulama şifresi oluşturmak için kullanıcının şifresini bilmeniz gerekecektir.

Uygulama şifreleri yalnızca 2 Adımlı Doğrulama açık olan hesaplarla kullanılabilir.

2-FA'yı Değiştirme ve Benzeri

2-FA'yı kapatmak veya yeni bir cihazı (veya telefon numarasını) kaydetmek de mümkündür. Bu sayfada https://myaccount.google.com/security. Ayrıca, anahtarlar oluşturmak (kendi cihazınızı eklemek), şifreyi değiştirmek, doğrulama telefonları için mobil numaralar eklemek ve kurtarma, kurtarma e-posta adresini değiştirmek ve güvenlik sorularını değiştirmek de mümkündür.

Kullanıcının telefonuna güvenlik push bildirimlerinin ulaşmasını engellemek için, akıllı telefonunu oturumdan çıkartabilirsiniz (bu garip olsa da) çünkü buradan tekrar oturum açamazsınız.

Ayrıca cihazı bulmak da mümkündür.

Açık bir oturumunuz olsa bile, bu ayarları değiştirmek için kullanıcının şifresini bilmeniz gerekecektir.

OAuth Uygulamaları ile Süreklilik

Eğer bir kullanıcının hesabını ele geçirdiyseniz, tüm olası izinleri bir OAuth Uygulamasına vermeyi kabul edebilirsiniz. Tek sorun, Workspace'in gözden geçirilmemiş dış ve/veya iç OAuth uygulamalarını engelleyecek şekilde yapılandırılabilmesidir. Workspace Organizasyonlarının varsayılan olarak dış OAuth uygulamalarına güvenmemesi, ancak iç olanlara güvenmesi oldukça yaygındır, bu nedenle eğer organizasyon içinde yeni bir OAuth uygulaması oluşturmak için yeterli izinleriniz varsa ve dış uygulamalar engellenmişse, bunu oluşturun ve sürekliliği sağlamak için bu yeni iç OAuth uygulamasını kullanın.

OAuth Uygulamaları hakkında daha fazla bilgi için aşağıdaki sayfayı kontrol edin:

GWS - Google Platforms Phishing

Delegasyon ile Süreklilik

Hesabı, saldırgan tarafından kontrol edilen farklı bir hesaba devredebilirsiniz (bunu yapmanıza izin veriliyorsa). Workspace Organizasyonlarında bu seçenek etkinleştirilmelidir. Herkes için devre dışı bırakılabilir, bazı kullanıcılar/gruplar için etkinleştirilebilir veya herkes için (genellikle yalnızca bazı kullanıcılar/gruplar için etkinleştirilir veya tamamen devre dışı bırakılır).

Bir Workspace yöneticisiyseniz, bu özelliği etkinleştirmek için kontrol edin

(Bilgi belgelerden kopyalanmıştır)

Organizasyonunuzun yöneticisi olarak (örneğin, iş veya okulunuz), kullanıcıların Gmail hesaplarına erişim devretme yetkisini kontrol edersiniz. Herkese hesaplarını devretme seçeneği verebilirsiniz. Ya da yalnızca belirli departmanlardaki kişilerin devretmesine izin verebilirsiniz. Örneğin, şunları yapabilirsiniz:

Gmail hesabınıza bir idari asistanı delege olarak ekleyerek, onların sizin adınıza e-posta okumasını ve göndermesini sağlayabilirsiniz.
Satış departmanınız gibi bir grubu, bir Gmail hesabına erişim sağlamak için delege olarak ekleyebilirsiniz.

Kullanıcılar yalnızca aynı organizasyondaki diğer bir kullanıcıya erişim devredebilirler, alan adları veya organizasyon birimleri fark etmeksizin.

Delegasyon sınırları ve kısıtlamaları

Kullanıcıların Gmail hesaplarına bir Google grubuna erişim vermelerine izin ver seçeneği: Bu seçeneği kullanmak için, devredilen hesabın OU'su ve her grup üyesinin OU'su için etkinleştirilmiş olmalıdır. Bu seçeneğin etkinleştirilmediği bir OU'ya ait grup üyeleri, devredilen hesaba erişemez.
Tipik kullanımda, 40 delege aynı anda bir Gmail hesabına erişebilir. Bir veya daha fazla delegenin ortalamanın üzerinde kullanımı bu sayıyı azaltabilir.
Gmail'e sık erişen otomatik süreçler, aynı anda bir hesaba erişebilen delege sayısını da azaltabilir. Bu süreçler, Gmail'e sık erişen API'ler veya tarayıcı uzantılarını içerir.
Tek bir Gmail hesabı, 1.000 benzersiz delegasyonu destekler. Gruplardaki bir grup, sınıra karşı bir delege olarak sayılır.
Delegasyon, bir Gmail hesabının sınırlarını artırmaz. Delegeli kullanıcıları olan Gmail hesapları, standart Gmail hesap sınırlarına ve politikalarına sahiptir. Ayrıntılar için Gmail sınırları ve politikaları sayfasını ziyaret edin.

Adım 1: Kullanıcılarınız için Gmail delegasyonunu etkinleştirin

Başlamadan önce: Belirli kullanıcılar için ayarı uygulamak için, hesaplarını bir organizasyon birimine koyun.

Google Yönetici konsoluna giriş yapın.

Hesap sahibini ve e-postayı gönderen delegeleri göster—Mesajlar, Gmail hesap sahibinin ve delegenin e-posta adreslerini içerir.
Sadece hesap sahibini göster—Mesajlar yalnızca Gmail hesap sahibinin e-posta adresini içerir. Delege e-posta adresi dahil edilmez.

(İsteğe bağlı) Kullanıcıların Gruplar'da bir grubu delege olarak eklemelerine izin vermek için Kullanıcıların Gmail hesaplarına bir Google grubuna erişim vermelerine izin ver kutusunu işaretleyin.
Kaydet'e tıklayın. Bir alt organizasyon birimini yapılandırdıysanız, bir üst organizasyon biriminin ayarlarını Devral veya Geçersiz Kıl seçeneği ile uygulayabilirsiniz.
(İsteğe bağlı) Diğer organizasyon birimleri için Gmail delegasyonunu etkinleştirmek için adımları 3-9 tekrarlayın.

Değişikliklerin etkili olması 24 saate kadar sürebilir, ancak genellikle daha hızlı gerçekleşir. Daha fazla bilgi edinin

Adım 2: Kullanıcıların hesapları için delegeleri ayarlamalarını sağlayın

Delegasyonu etkinleştirdikten sonra, kullanıcılar Gmail ayarlarına giderek delegeleri atayabilirler. Delegeler, kullanıcının adına mesajları okuyabilir, gönderebilir ve alabilirler.

Ayrıntılar için kullanıcıları E-posta devretme ve işbirliği yapma sayfasına yönlendirin.

Normal bir kullanıcıdan, erişiminizi devretmek için buradan talimatları kontrol edin

(Bilgi belgelerden kopyalanmıştır)

En fazla 10 delege ekleyebilirsiniz.

Eğer iş, okul veya başka bir organizasyon aracılığıyla Gmail kullanıyorsanız:

Organizasyonunuz içinde en fazla 1000 delege ekleyebilirsiniz.
Tipik kullanımda, 40 delege aynı anda bir Gmail hesabına erişebilir.
Otomatik süreçler kullanıyorsanız, birkaç delege aynı anda bir Gmail hesabına erişebilir.

Bilgisayarınızda Gmail açın. Gmail uygulamasından delegeler ekleyemezsiniz.
Hesaplar ve İçe Aktarma veya Hesaplar sekmesine tıklayın.
"Hesabınıza erişim vermek" bölümünde, Başka bir hesap ekle'ye tıklayın. Eğer iş veya okul aracılığıyla Gmail kullanıyorsanız, organizasyonunuz e-posta devrini kısıtlayabilir. Bu ayarı görmüyorsanız, yöneticinizle iletişime geçin.

Hesabınıza erişim vermek için bu ayarı görmüyorsanız, o zaman kısıtlanmıştır.

Eklemek istediğiniz kişinin e-posta adresini girin. Eğer iş, okul veya başka bir organizasyon aracılığıyla Gmail kullanıyorsanız ve yöneticiniz izin veriyorsa, bir grubun e-posta adresini girebilirsiniz. Bu grup, organizasyonunuzla aynı alan adına sahip olmalıdır. Grubun dışındaki üyelerin devretme erişimi reddedilir. Önemli: Devrettiğiniz hesap yeni bir hesapsa veya şifre sıfırlanmışsa, yöneticinin ilk oturum açtığınızda şifre değiştirme gerekliliğini kapatması gerekir.

Eklediğiniz kişi, onaylaması için bir e-posta alacaktır. Davet bir hafta sonra sona erecektir.

Eğer bir grup eklediyseniz, tüm grup üyeleri onaylamadan delege olacaklardır.

Not: Delegasyonun etkili olması 24 saate kadar sürebilir.

Android Uygulaması ile Süreklilik

Eğer bir kurbanın google hesabında oturum açtıysanız, Play Store'a göz atabilir ve telefonuna doğrudan yüklediğiniz kötü amaçlı yazılımı yükleyebilirsiniz, böylece sürekliliği sağlamak ve kurbanın telefonuna erişmek için.

Uygulama Scriptleri ile Süreklilik

Uygulama Scriptlerinde zaman tabanlı tetikleyiciler oluşturabilirsiniz, böylece eğer Uygulama Scripti kullanıcı tarafından kabul edilirse, kullanıcı erişmeden bile tetiklenecektir. Bunu nasıl yapacağınız hakkında daha fazla bilgi için kontrol edin:

GWS - App Scripts

Referanslar

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch ve Beau Bullock - Tamam Google, GSuite'i nasıl Red Team yaparım?

PreviousGWS - Post Exploitation NextGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)

Last updated 3 days ago