Comparte tus trucos de hacking enviando PRs a los repositorios deHackTricks y HackTricks Cloud en GitHub.
Todas las acciones mencionadas en esta sección que cambien la configuración generarán una alerta de seguridad al correo electrónico e incluso una notificación push a cualquier dispositivo móvil sincronizado con la cuenta.
Persistencia en Gmail
Puedes crear filtros para ocultar notificaciones de seguridad de Google
Ingresa tus criterios de búsqueda. Si deseas verificar que tu búsqueda funcionó correctamente, mira qué correos electrónicos aparecen haciendo clic en Buscar.
En la parte inferior de la ventana de búsqueda, haz clic en Crear filtro.
Luego, configura para reenviar todos los correos electrónicos manteniendo una copia (recuerda hacer clic en guardar cambios):
También es posible crear filtros y reenviar solo correos electrónicos específicos a la otra dirección de correo electrónico.
Contraseñas de aplicaciones
Si lograste comprometer la sesión de un usuario de Google y el usuario tenía 2FA, puedes generar una contraseña de aplicación (sigue el enlace para ver los pasos). Ten en cuenta que Google ya no recomienda las contraseñas de aplicaciones y las revoca cuando el usuario cambia su contraseña de la cuenta de Google.
Incluso si tienes una sesión abierta, necesitarás conocer la contraseña del usuario para crear una contraseña de aplicación.
Las contraseñas de aplicaciones solo se pueden usar con cuentas que tengan activada la Verificación en dos pasos.
Cambiar 2-FA y similares
También es posible desactivar la 2-FA o inscribir un nuevo dispositivo (o número de teléfono) en esta página https://myaccount.google.com/security.También es posible generar contraseñas (agregar tu propio dispositivo), cambiar la contraseña, agregar números de teléfono para verificar teléfonos y recuperación, cambiar el correo electrónico de recuperación y cambiar las preguntas de seguridad).
Para evitar que las notificaciones de seguridad push lleguen al teléfono del usuario, podrías cerrar la sesión de su smartphone (aunque sería extraño) porque no puedes iniciar sesión nuevamente desde aquí.
También es posible localizar el dispositivo.
Incluso si tienes una sesión abierta, necesitarás conocer la contraseña del usuario para cambiar estas configuraciones.
Persistencia a través de aplicaciones OAuth
Si has comprometido la cuenta de un usuario, simplemente puedes aceptar otorgar todos los permisos posibles a una Aplicación OAuth. El único problema es que Workspace puede estar configurado para prohibir aplicaciones OAuth externas y/o internas no revisadas.
Es bastante común que las Organizaciones de Workspace por defecto no confíen en aplicaciones OAuth externas pero confíen en las internas, por lo que si tienes suficientes permisos para generar una nueva aplicación OAuth dentro de la organización y las aplicaciones externas están prohibidas, genérala y utiliza esa nueva aplicación OAuth interna para mantener la persistencia.
Consulta la siguiente página para obtener más información sobre las Aplicaciones OAuth:
Simplemente puedes delegar la cuenta a una cuenta diferente controlada por el atacante (si se te permite hacerlo). En las Organizaciones de Workspace esta opción debe estar habilitada. Puede estar deshabilitada para todos, habilitada para algunos usuarios/grupos o para todos (generalmente solo está habilitada para algunos usuarios/grupos o completamente deshabilitada).
Si eres un administrador de Workspace, verifica esto para habilitar la función
Como administrador de tu organización (por ejemplo, tu trabajo o escuela), controlas si los usuarios pueden delegar el acceso a su cuenta de Gmail. Puedes permitir que todos tengan la opción de delegar su cuenta. O, solo permitir que las personas en ciertos departamentos configuren la delegación. Por ejemplo, puedes:
Agregar un asistente administrativo como delegado en tu cuenta de Gmail para que pueda leer y enviar correos electrónicos en tu nombre.
Agregar un grupo, como tu departamento de ventas, en Grupos como delegado para dar acceso a todos a una cuenta de Gmail.
Los usuarios solo pueden delegar acceso a otro usuario en la misma organización, independientemente de su dominio o su unidad organizativa.
Límites y restricciones de delegación
Opción Permitir a los usuarios otorgar acceso a su buzón a un grupo de Google: Para usar esta opción, debe estar habilitada para la OU de la cuenta delegada y para la OU de cada miembro del grupo. Los miembros del grupo que pertenecen a una OU sin esta opción habilitada no pueden acceder a la cuenta delegada.
Con un uso típico, 40 usuarios delegados pueden acceder a una cuenta de Gmail al mismo tiempo. Un uso superior al promedio por uno o más delegados podría reducir este número.
Los procesos automatizados que acceden con frecuencia a Gmail también podrían reducir el número de delegados que pueden acceder a una cuenta al mismo tiempo. Estos procesos incluyen API o extensiones de navegador que acceden con frecuencia a Gmail.
Una sola cuenta de Gmail admite hasta 1,000 delegados únicos. Un grupo en Grupos cuenta como un delegado hacia el límite.
La delegación no aumenta los límites de una cuenta de Gmail. Las cuentas de Gmail con usuarios delegados tienen los límites y políticas estándar de una cuenta de Gmail. Para más detalles, visita Límites y políticas de Gmail.
Paso 1: Activar la delegación de Gmail para tus usuarios
Antes de comenzar: Para aplicar la configuración para ciertos usuarios, coloca sus cuentas en una unidad organizativa.
Mostrar el propietario de la cuenta y el delegado que envió el correo electrónico—Los mensajes incluyen las direcciones de correo electrónico del propietario de la cuenta de Gmail y del delegado.
Mostrar solo el propietario de la cuenta—Los mensajes incluyen la dirección de correo electrónico solo del propietario de la cuenta de Gmail. La dirección de correo electrónico del delegado no se incluye.
(Opcional) Para permitir que los usuarios agreguen un grupo en Grupos como delegado, marca la casilla Permitir a los usuarios otorgar acceso a su buzón a un grupo de Google.
Haz clic en Guardar. Si configuraste una unidad organizativa secundaria, es posible que puedas Heredar o Anular la configuración de una unidad organizativa principal.
(Opcional) Para activar la delegación de Gmail para otras unidades organizativas, repite los pasos 3–9.
Los cambios pueden tardar hasta 24 horas, pero generalmente ocurren más rápidamente. Más información
Paso 2: Hacer que los usuarios configuren delegados para sus cuentas
Después de activar la delegación, tus usuarios van a la configuración de Gmail para asignar delegados. Los delegados pueden leer, enviar y recibir mensajes en nombre del usuario.
Si estás usando Gmail a través de tu trabajo, escuela u otra organización:
Puedes agregar hasta 1000 delegados dentro de tu organización.
Con un uso típico, 40 delegados pueden acceder a una cuenta de Gmail al mismo tiempo.
Si utilizas procesos automatizados, como APIs o extensiones de navegador, unos pocos delegados pueden acceder a una cuenta de Gmail al mismo tiempo.
En tu computadora, abre Gmail. No puedes agregar delegados desde la aplicación de Gmail.
Haz clic en la pestaña Cuentas e importación o Cuentas.
En la sección "Conceder acceso a tu cuenta", haz clic en Agregar otra cuenta. Si estás usando Gmail a través de tu trabajo o escuela, tu organización puede restringir la delegación de correo electrónico. Si no ves esta configuración, contacta a tu administrador.
Si no ves Conceder acceso a tu cuenta, entonces está restringido.
Ingresa la dirección de correo electrónico de la persona que deseas agregar. Si estás usando Gmail a través de tu trabajo, escuela u otra organización, y tu administrador lo permite, puedes ingresar la dirección de correo electrónico de un grupo. Este grupo debe tener el mismo dominio que tu organización. Los miembros externos del grupo no tienen acceso a la delegación.
Importante: Si la cuenta que delegas es una cuenta nueva o se restableció la contraseña, el administrador debe desactivar el requisito de cambiar la contraseña cuando inicies sesión por primera vez.
La persona que agregaste recibirá un correo electrónico pidiéndole que confirme. La invitación caduca después de una semana.
Si agregaste un grupo, todos los miembros del grupo se convertirán en delegados sin necesidad de confirmar.
Nota: Puede tardar hasta 24 horas en que la delegación comience a surtir efecto.
Persistencia a través de la aplicación de Android
Si tienes una sesión dentro de la cuenta de Google de las víctimas puedes navegar a la Play Store y podrías ser capaz de instalar malware que ya has subido a la tienda directamente en el teléfono para mantener la persistencia y acceder al teléfono de las víctimas.
Persistencia a través de Scripts de Aplicaciones
Puedes crear disparadores basados en el tiempo en Scripts de Aplicaciones, por lo que si el Script de Aplicación es aceptado por el usuario, se activará incluso sin que el usuario lo acceda. Para obtener más información sobre cómo hacer esto, consulta:
En la caja de búsqueda en la parte superior, haz clic en Mostrar opciones de búsqueda .
Inicia sesión utilizando una cuenta de administrador, no tu cuenta actual CarlosPolop@gmail.com 2. En la consola de administración, ve a Menú AplicacionesGoogle WorkspaceGmailConfiguración de usuario. 3. Para aplicar la configuración a todos, deja seleccionada la unidad organizativa superior. De lo contrario, selecciona una unidad organizativa secundaria. 4. Haz clic en Delegación de correo. 5. Marca la casilla Permitir que los usuarios deleguen acceso a su buzón a otros usuarios del dominio. 6. (Opcional) Para permitir que los usuarios especifiquen qué información del remitente se incluye en los mensajes delegados enviados desde su cuenta, marca la casilla Permitir a los usuarios personalizar esta configuración. 7. Selecciona una opción para la información del remitente predeterminada que se incluirá en los mensajes enviados por los delegados:
En la esquina superior derecha, haz clic en Configuración Ver todas las configuraciones.
6. Haz clic en Siguiente pasoEnviar correo electrónico para conceder acceso.