GWS - Persistence

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦 @carlospolopm.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

Alle aksies wat in hierdie afdeling genoem word en instellings verander, sal 'n sekuriteitswaarskuwing na die e-pos stuur en selfs 'n drukkennisgewing na enige gesinkroniseerde mobiele toestel met die rekening genereer.

Volharding in Gmail

Jy kan filters skep om sekuriteitskennisgewings van Google te versteek
from: (no-reply@accounts.google.com) "Security Alert"
Dit sal voorkom dat sekuriteits-e-posse die e-pos bereik (maar sal nie voorkom dat drukkennisgewings na die mobiele toestel gestuur word nie)

Stappe om 'n gmail-filter te skep

(Instruksies van hier)

Maak Gmail oop.
Klik in die soekblokkie bo-aan op Wys soekopsies .
Voer jou soekkriteria in. As jy wil nagaan of jou soektog korrek gewerk het, kyk watter e-posse verskyn deur op Soek te klik.
Onder aan die soekvenster, klik op Skep filter.
Kies wat jy wil hê die filter moet doen.
Klik op Skep filter.

Kyk na jou huidige filter (om hulle te verwyder) in https://mail.google.com/mail/u/0/#settings/filters

Skep deurverwysingsadres om sensitiewe inligting (of alles) deur te stuur - Jy benodig handmatige toegang.
Skep 'n deurverwysingsadres in https://mail.google.com/mail/u/2/#settings/fwdandpop
Die ontvangsadresse moet dit bevestig
Stel dan in om al die e-posse deur te stuur terwyl 'n afskrif behou word (onthou om op stoor veranderinge te klik):

Dit is ook moontlik om filters te skep en slegs spesifieke e-posse na die ander e-posadres deur te stuur.

App wagwoorde

As jy daarin geslaag het om 'n Google-gebruikersessie te kompromitteer en die gebruiker het 2FA, kan jy 'n app-wagwoord genereer (volg die skakel om die stappe te sien). Let daarop dat App-wagwoorde nie meer deur Google aanbeveel word nie en herroep word wanneer die gebruiker sy Google-rekeningwagwoord verander.

Selfs al het jy 'n oop sessie, sal jy die wagwoord van die gebruiker moet weet om 'n app-wagwoord te skep.

App-wagwoorde kan slegs gebruik word met rekeninge wat 2-stap-verifikasie aan het.

Verander 2-FA en soortgelyke

Dit is ook moontlik om 2-FA af te skakel of 'n nuwe toestel (of telefoonnommer) in te skryf op hierdie bladsy https://myaccount.google.com/security. Dit is ook moontlik om wagwoorde te genereer (voeg jou eie toestel by), verander die wagwoord, voeg mobiele nommers by vir verifikasie van fone en herwinning, verander die herwin-e-pos en verander die sekuriteitsvrae).

Om te verhoed dat sekuriteitsdrukkennisgewings die gebruiker se foon bereik, kan jy sy slimfoon afteken (alhoewel dit vreemd sou wees) omdat jy hom nie weer hier kan aanmeld nie.

Dit is ook moontlik om die toestel op te spoor.

Selfs al het jy 'n oop sessie, sal jy die wagwoord van die gebruiker moet weet om hierdie instellings te verander.

Volharding via OAuth-toepassings

As jy die rekening van 'n gebruiker gekompromitteer het, kan jy net aanvaar om alle moontlike toestemmings aan 'n OAuth-toepassing te verleen. Die enigste probleem is dat Workspace kan ingestel word om onopgesmukte eksterne en/of interne OAuth-toepassings te verbied. Dit is redelik algemeen vir Workspace-organisasies om nie standaard eksterne OAuth-toepassings te vertrou nie, maar interne wel, dus as jy genoeg toestemmings het om 'n nuwe OAuth-toepassing te genereer binne die organisasie en eksterne toepassings is verbied, genereer dit en gebruik daardie nuwe interne OAuth-toepassing om volharding te handhaaf.

Kyk na die volgende bladsy vir meer inligting oor OAuth-toepassings:

pageGWS - Google Platforms Phishing

Volharding via delegasie

Jy kan net die rekening delegeer aan 'n ander rekening wat deur die aanvaller beheer word (indien jy hiertoe toegelaat word). In Workspace Organisasies moet hierdie opsie geaktiveer wees. Dit kan vir almal gedeaktiveer word, geaktiveer word vir sekere gebruikers/groepe of vir almal (gewoonlik is dit slegs geaktiveer vir sekere gebruikers/groepe of heeltemal gedeaktiveer).

As jy 'n Workspace-admin is, kyk hierna om die funksie te aktiveer

(Inligting gekopieer van die dokumente)

As 'n administrateur vir jou organisasie (byvoorbeeld jou werk of skool), beheer jy of gebruikers toegang tot hul Gmail-rekening kan delegeer. Jy kan almal die opsie gee om hul rekening te delegeer. Of, laat net mense in sekere departemente toe om delegeering op te stel. Byvoorbeeld, jy kan:

Voeg 'n administratiewe assistent as 'n afgevaardigde by jou Gmail-rekening sodat hulle e-pos kan lees en stuur namens jou.
Voeg 'n groep, soos jou verkope-afdeling, in Groepe as 'n afgevaardigde by om almal toegang tot een Gmail-rekening te gee.

Gebruikers kan slegs toegang tot 'n ander gebruiker in dieselfde organisasie delegeer, ongeag hul domein of hul organisatoriese eenheid.

Delegasie-limiete & -beperkings

Laat gebruikers toe om hul posbus-toegang aan 'n Google-groep te verleen-opsie: Om hierdie opsie te gebruik, moet dit geaktiveer word vir die OU van die afgevaardigde rekening en vir elke groeplid se OU. Groeplede wat aan 'n OU behoort waarsonder hierdie opsie geaktiveer is, kan nie toegang tot die afgevaardigde rekening kry nie.
Met tipiese gebruik kan 40 afgevaardigde gebruikers terselfdertyd toegang tot 'n Gmail-rekening kry. Bogenoemde gemiddelde gebruik deur een of meer afgevaardigdes kan hierdie getal verminder.
Geoutomatiseerde prosesse wat gereeld toegang tot Gmail kry, kan ook die aantal afgevaardigdes wat terselfdertyd toegang tot 'n rekening kan kry, verminder. Hierdie prosesse sluit API's of blaaieruitbreidings in wat gereeld toegang tot Gmail kry.
'n Enkele Gmail-rekening ondersteun tot 1,000 unieke afgevaardigdes. 'n Groep in Groepe tel as een afgevaardigde na die limiet.
Delegasie verhoog nie die limiete vir 'n Gmail-rekening nie. Gmail-rekeninge met afgevaardigde gebruikers het die standaard Gmail-rekeninglimiete en -beleide. Vir meer inligting, besoek Gmail-limiete en -beleide.

Stap 1: Skakel Gmail-delegasie aan vir jou gebruikers

Voordat jy begin: Om die instelling op sekere gebruikers toe te pas, plaas hul rekeninge in 'n organisasie-eenheid.

Teken in by jou Google Admin-konsole.

Teken in met 'n administrateur-rekening, nie jou huidige rekening CarlosPolop@gmail.com 2. In die Admin-konsole, gaan na die Menu AppsGoogle WorkspaceGmailGebruikersinstellings. 3. Om die instelling op almal toe te pas, los die boonste organisasie-eenheid geselekteer. Andersins, kies 'n kinder organisasie-eenheid. 4. Klik op Posdelegasie. 5. Merk die Laat gebruikers toe om toegang tot hul posbus aan ander gebruikers in die domein te delegeer blokkie aan. 6. (Opsioneel) Om gebruikers toe te laat om te spesifiseer watter afsenderinligting ingesluit word in gedelegeerde boodskappe wat vanaf hul rekening gestuur word, merk die Laat gebruikers toe om hierdie instelling aan te pas blokkie aan. 7. Kies 'n opsie vir die verstek afsenderinligting wat ingesluit word in boodskappe gestuur deur gedelegeerdes:

Wys die rekening eienaar en die gedelegeerde wat die e-pos gestuur het—Boodskappe sluit die e-posadresse van die Gmail-rekening eienaar en die gedelegeerde in.
Wys net die rekening eienaar—Boodskappe sluit slegs die e-posadres van die Gmail-rekening eienaar in. Die gedelegeerde se e-posadres word nie ingesluit nie.

(Opsioneel) Om gebruikers toe te laat om 'n groep in Groepe as 'n gedelegeerde by te voeg, merk die Laat gebruikers toe om hul posbus-toegang aan 'n Google-groep te verleen blokkie aan.
Klik op Stoor. As jy 'n kinder organisasie-eenheid gekonfigureer het, kan jy dalk die ouer organisasie-eenheid se instellings Oorerf of Oorskry.
(Opsioneel) Om Gmail-delegasie aan te skakel vir ander organisasie-eenhede, herhaal stappe 3–9.

Veranderinge kan tot 24 uur neem, maar gebeurlik gebeur dit vinniger. Leer meer

Stap 2: Laat gebruikers gedelegeerdes vir hul rekeninge instel

Nadat jy delegasie aanskakel, gaan jou gebruikers na hul Gmail-instellings om gedelegeerdes toe te ken. Gedelegeerdes kan dan boodskappe lees, stuur, en ontvang namens die gebruiker.

Vir meer inligting, verwys gebruikers na Delegeer en saamwerk aan e-pos.

Van 'n gewone gebruiker, kyk hier die instruksies om te probeer om jou toegang te delegeer

(Inligting gekopieer van die dokumente)

Jy kan tot 10 gedelegeerdes byvoeg.

As jy Gmail gebruik deur jou werk, skool, of 'n ander organisasie:

Jy kan tot 1000 gedelegeerdes binne jou organisasie byvoeg.
Met tipiese gebruik, kan 40 gedelegeerdes toegang tot 'n Gmail-rekening hê op dieselfde tyd.
As jy outomatiese prosesse gebruik, soos API's of blaaieruitbreidings, kan 'n paar gedelegeerdes toegang tot 'n Gmail-rekening hê op dieselfde tyd.

Op jou rekenaar, maak Gmail oop. Jy kan nie gedelegeerdes byvoeg vanuit die Gmail-toep nie.
In die boonste reg, klik op Instellings Sien alle instellings.
Klik op die Rekeninge en invoer of Rekeninge-tabblad.
In die "Verleen toegang tot jou rekening" afdeling, klik Voeg 'n ander rekening by. As jy Gmail gebruik deur jou werk of skool, mag jou organisasie e-posdelegasie beperk. As jy nie hierdie instelling sien nie, kontak jou admin.

As jy nie Skenk toegang tot jou rekening sien nie, is dit beperk.

Voer die e-posadres van die persoon wat jy wil byvoeg in. As jy Gmail gebruik deur jou werk, skool, of 'n ander organisasie, en jou admin dit toelaat, kan jy die e-posadres van 'n groep invoer. Hierdie groep moet dieselfde domein as jou organisasie hê. Eksterne lede van die groep word delegasietoegang ontneem. Belangrik: As die rekening wat jy delegeer 'n nuwe rekening is of die wagwoord is gereset, moet die Admin die vereiste om die wagwoord te verander wanneer jy eerste keer teken, afskakel.

6. Klik Volgende stap Stuur e-pos om toegang te verleen.

Die persoon wat jy bygevoeg het, sal 'n e-pos kry wat hulle vra om te bevestig. Die uitnodiging verval na 'n week.

As jy 'n groep bygevoeg het, sal alle groeplede gedelegeerdes word sonder om te bevestig.

Nota: Dit kan tot 24 uur neem voordat die delegasie begin werk.

Volharding via Android-toep

As jy 'n sessie binne slagoffers Google-rekening het, kan jy na die Play Store blaai en moontlik malware installeer wat jy reeds na die winkel gelaai het direk na die foon om volharding te handhaaf en toegang tot die slagoffer se foon te verkry.

Volharding via App-skripte

Jy kan tydgebaseerde afleiers in App-skripte skep, sodat as die App-skrip deur die gebruiker aanvaar word, dit geaktiveer sal word selfs sonder dat die gebruiker dit toegang gee. Vir meer inligting oor hoe om dit te doen, kyk:

pageGWS - App Scripts

Verwysings

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hack van G Suite: Die Krag van Donker App-skripsielug
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch en Beau Bullock - OK Google, Hoe Red Team GSuite?

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling eksklusiewe NFT's
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg my op Twitter 🐦 @carlospolopm.
Deel jou hacking truuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

PreviousGWS - Post Exploitation NextGWS - Google Platforms Phishing

Last updated 1 month ago