GWS - Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Усі дії, згадані в цьому розділі, які змінюють налаштування, генеруватимуть сповіщення про безпеку на електронну пошту та навіть push-сповіщення на будь-який мобільний пристрій, синхронізований з обліковим записом.
Ви можете створити фільтри, щоб приховати сповіщення про безпеку від Google
from: (no-reply@accounts.google.com) "Security Alert"
Це запобігатиме надходженню електронних листів про безпеку на електронну пошту (але не запобігатиме push-сповіщенням на мобільний телефон)
Створіть адресу пересилання для пересилання чутливої інформації (або всього) - Вам потрібен ручний доступ.
Створіть адресу пересилання на https://mail.google.com/mail/u/2/#settings/fwdandpop
Отримувач повинен підтвердити це
Потім налаштуйте пересилання всіх електронних листів, зберігаючи копію (не забудьте натиснути зберегти зміни):
Також можливо створити фільтри та пересилати лише певні електронні листи на іншу електронну адресу.
Якщо вам вдалося зламати сесію користувача google і у користувача була 2FA, ви можете згенерувати пароль додатка (перейдіть за посиланням, щоб побачити кроки). Зверніть увагу, що Паролі додатків більше не рекомендуються Google і відкликаються, коли користувач змінює пароль свого облікового запису Google.
Навіть якщо у вас відкрита сесія, вам потрібно знати пароль користувача, щоб створити пароль додатка.
Паролі додатків можуть використовуватися лише з обліковими записами, у яких увімкнено 2-етапну перевірку.
Також можливо вимкнути 2-FA або зареєструвати новий пристрій (або номер телефону) на цій сторінці https://myaccount.google.com/security. Також можливо згенерувати ключі доступу (додати свій пристрій), змінити пароль, додати номери мобільних телефонів для перевірки та відновлення, змінити електронну пошту для відновлення та змінити запитання безпеки).
Щоб запобігти сповіщенням про безпеку на телефон користувача, ви можете вийти з його смартфона (хоча це буде дивно), оскільки ви не можете знову увійти з цього місця.
Також можливо знайти пристрій.
Навіть якщо у вас відкрита сесія, вам потрібно знати пароль користувача, щоб змінити ці налаштування.
Якщо ви зламали обліковий запис користувача, ви можете просто прийняти надання всіх можливих дозволів OAuth App. Єдина проблема в тому, що Workspace може бути налаштований на заборону не перевірених зовнішніх та/або внутрішніх OAuth додатків. Досить поширено, що організації Workspace за замовчуванням не довіряють зовнішнім OAuth додаткам, але довіряють внутрішнім, тому, якщо у вас є достатні дозволи для створення нового OAuth додатка всередині організації, а зовнішні додатки заборонені, створіть його та використовуйте цей новий внутрішній OAuth додаток для підтримки постійності.
Перевірте наступну сторінку для отримання додаткової інформації про OAuth Apps:
Ви можете просто делегувати обліковий запис на інший обліковий запис, контрольований зловмисником (якщо вам дозволено це зробити). У Workspace Організаціях ця опція повинна бути увімкнена. Вона може бути вимкнена для всіх, увімкнена для деяких користувачів/груп або для всіх (зазвичай вона увімкнена лише для деяких користувачів/груп або повністю вимкнена).
Якщо у вас є сесія в обліковому записі google жертви, ви можете перейти до Play Store і, можливо, зможете встановити шкідливе ПЗ, яке ви вже завантажили в магазин, безпосередньо на телефон, щоб підтримувати постійність і отримати доступ до телефону жертви.
Ви можете створити тригери на основі часу в App Scripts, тому, якщо App Script буде прийнято користувачем, він буде запущений навіть без доступу користувача. Для отримання додаткової інформації про те, як це зробити, перевірте:
https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?
Увійдіть, використовуючи обліковий запис адміністратора, а не свій поточний обліковий запис CarlosPolop@gmail.com 2. У консолі адміністратора перейдіть до Меню ДодаткиGoogle WorkspaceGmailНалаштування користувача. 3. Щоб застосувати налаштування для всіх, залиште вибраною верхню організаційну одиницю. В іншому випадку виберіть дочірню організаційну одиницю. 4. Натисніть Делегування пошти. 5. Поставте галочку в полі Дозволити користувачам делегувати доступ до своєї поштової скриньки іншим користувачам у домені. 6. (Необов'язково) Щоб дозволити користувачам вказати, яка інформація про відправника включена в делеговані повідомлення, поставте галочку в полі Дозволити користувачам налаштувати це налаштування. 7. Виберіть опцію для стандартної інформації про відправника, яка включена в повідомлення, надіслані делегатами:
У правому верхньому куті натисніть Налаштування Переглянути всі налаштування.
6. Натисніть Наступний крок Надіслати електронний лист для надання доступу.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)