GWS - Persistence

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repos de github.

Todas las acciones mencionadas en esta sección que cambian la configuración generarán una alerta de seguridad al correo electrónico e incluso una notificación push a cualquier móvil sincronizado con la cuenta.

Persistencia en Gmail

Puedes crear filtros para ocultar notificaciones de seguridad de Google
from: (no-reply@accounts.google.com) "Security Alert"
Esto evitará que los correos electrónicos de seguridad lleguen al correo (pero no evitará las notificaciones push al móvil)

Pasos para crear un filtro en gmail

(Instrucciones de aquí)

Abre Gmail.
En el cuadro de búsqueda en la parte superior, haz clic en Mostrar opciones de búsqueda .
Ingresa tus criterios de búsqueda. Si deseas verificar que tu búsqueda funcionó correctamente, ve qué correos aparecen haciendo clic en Buscar.
En la parte inferior de la ventana de búsqueda, haz clic en Crear filtro.
Elige lo que deseas que haga el filtro.
Haz clic en Crear filtro.

Revisa tu filtro actual (para eliminarlos) en https://mail.google.com/mail/u/0/#settings/filters

Crea una dirección de reenvío para reenviar información sensible (o todo) - Necesitas acceso manual.
Crea una dirección de reenvío en https://mail.google.com/mail/u/2/#settings/fwdandpop
La dirección receptora deberá confirmar esto
Luego, configura para reenviar todos los correos mientras mantienes una copia (recuerda hacer clic en guardar cambios):

También es posible crear filtros y reenviar solo correos específicos a la otra dirección de correo.

Contraseñas de aplicaciones

Si lograste comprometer una sesión de usuario de Google y el usuario tenía 2FA, puedes generar una contraseña de aplicación (sigue el enlace para ver los pasos). Ten en cuenta que Google ya no recomienda las contraseñas de aplicación y son revocadas cuando el usuario cambia su contraseña de Google Account.

Incluso si tienes una sesión abierta, necesitarás conocer la contraseña del usuario para crear una contraseña de aplicación.

Las contraseñas de aplicación solo se pueden usar con cuentas que tienen la Verificación en 2 Pasos activada.

Cambiar 2-FA y similar

También es posible desactivar 2-FA o inscribir un nuevo dispositivo (o número de teléfono) en esta página https://myaccount.google.com/security. También es posible generar claves de acceso (agregar tu propio dispositivo), cambiar la contraseña, agregar números móviles para teléfonos de verificación y recuperación, cambiar el correo electrónico de recuperación y cambiar las preguntas de seguridad).

Para evitar que las notificaciones push de seguridad lleguen al teléfono del usuario, podrías cerrar sesión en su smartphone (aunque eso sería raro) porque no puedes volver a iniciar sesión desde aquí.

También es posible localizar el dispositivo.

Incluso si tienes una sesión abierta, necesitarás conocer la contraseña del usuario para cambiar estas configuraciones.

Persistencia a través de aplicaciones OAuth

Si has comprometido la cuenta de un usuario, puedes simplemente aceptar otorgar todos los permisos posibles a una aplicación OAuth. El único problema es que Workspace puede configurarse para no permitir aplicaciones OAuth externas y/o internas no revisadas. Es bastante común que las organizaciones de Workspace no confíen por defecto en las aplicaciones OAuth externas, pero confíen en las internas, así que si tienes suficientes permisos para generar una nueva aplicación OAuth dentro de la organización y las aplicaciones externas están deshabilitadas, créala y usa esa nueva aplicación OAuth interna para mantener la persistencia.

Consulta la siguiente página para más información sobre aplicaciones OAuth:

GWS - Google Platforms Phishing

Persistencia a través de delegación

Puedes simplemente delegar la cuenta a una cuenta diferente controlada por el atacante (si se te permite hacer esto). En las Organizaciones de Workspace, esta opción debe estar habilitada. Puede estar deshabilitada para todos, habilitada para algunos usuarios/grupos o para todos (generalmente solo está habilitada para algunos usuarios/grupos o completamente deshabilitada).

Si eres un administrador de Workspace, verifica esto para habilitar la función

(Información copiada de la documentación)

Como administrador de tu organización (por ejemplo, tu trabajo o escuela), controlas si los usuarios pueden delegar acceso a su cuenta de Gmail. Puedes permitir que todos tengan la opción de delegar su cuenta. O, solo permitir que personas en ciertos departamentos configuren la delegación. Por ejemplo, puedes:

Agregar un asistente administrativo como delegado en tu cuenta de Gmail para que pueda leer y enviar correos electrónicos en tu nombre.
Agregar un grupo, como tu departamento de ventas, en Grupos como delegado para dar acceso a todos a una cuenta de Gmail.

Los usuarios solo pueden delegar acceso a otro usuario en la misma organización, independientemente de su dominio o unidad organizativa.

Límites y restricciones de delegación

Permitir a los usuarios otorgar acceso a su bandeja de entrada a un grupo de Google opción: Para usar esta opción, debe estar habilitada para la OU de la cuenta delegada y para la OU de cada miembro del grupo. Los miembros del grupo que pertenecen a una OU sin esta opción habilitada no pueden acceder a la cuenta delegada.
Con el uso típico, 40 usuarios delegados pueden acceder a una cuenta de Gmail al mismo tiempo. Un uso superior al promedio por uno o más delegados podría reducir este número.
Los procesos automatizados que acceden frecuentemente a Gmail también podrían reducir el número de delegados que pueden acceder a una cuenta al mismo tiempo. Estos procesos incluyen APIs o extensiones de navegador que acceden a Gmail con frecuencia.
Una sola cuenta de Gmail admite hasta 1,000 delegados únicos. Un grupo en Grupos cuenta como un delegado hacia el límite.
La delegación no aumenta los límites para una cuenta de Gmail. Las cuentas de Gmail con usuarios delegados tienen los límites y políticas estándar de la cuenta de Gmail. Para más detalles, visita Límites y políticas de Gmail.

Paso 1: Activar la delegación de Gmail para tus usuarios

Antes de comenzar: Para aplicar la configuración a ciertos usuarios, coloca sus cuentas en una unidad organizativa.

Inicia sesión en tu consola de administración de Google.

Inicia sesión usando una cuenta de administrador, no tu cuenta actual CarlosPolop@gmail.com 2. En la consola de administración, ve a Menú AplicacionesGoogle WorkspaceGmailConfiguraciones de usuario. 3. Para aplicar la configuración a todos, deja seleccionada la unidad organizativa superior. De lo contrario, selecciona una unidad organizativa secundaria. 4. Haz clic en Delegación de correo. 5. Marca la casilla Permitir a los usuarios delegar acceso a su bandeja de entrada a otros usuarios en el dominio. 6. (Opcional) Para permitir a los usuarios especificar qué información del remitente se incluye en los mensajes delegados enviados desde su cuenta, marca la casilla Permitir a los usuarios personalizar esta configuración. 7. Selecciona una opción para la información del remitente predeterminada que se incluye en los mensajes enviados por los delegados:

Mostrar al propietario de la cuenta y al delegado que envió el correo—Los mensajes incluyen las direcciones de correo electrónico del propietario de la cuenta de Gmail y del delegado.
Mostrar solo al propietario de la cuenta—Los mensajes incluyen la dirección de correo electrónico solo del propietario de la cuenta de Gmail. La dirección de correo electrónico del delegado no se incluye.

(Opcional) Para permitir a los usuarios agregar un grupo en Grupos como delegado, marca la casilla Permitir a los usuarios otorgar acceso a su bandeja de entrada a un grupo de Google.
Haz clic en Guardar. Si configuraste una unidad organizativa secundaria, es posible que puedas Heredar o Anular la configuración de una unidad organizativa principal.
(Opcional) Para activar la delegación de Gmail para otras unidades organizativas, repite los pasos 3–9.

Los cambios pueden tardar hasta 24 horas, pero generalmente ocurren más rápido. Aprende más

Paso 2: Haz que los usuarios configuren delegados para sus cuentas

Después de activar la delegación, tus usuarios van a la configuración de Gmail para asignar delegados. Los delegados pueden luego leer, enviar y recibir mensajes en nombre del usuario.

Para más detalles, dirige a los usuarios a Delegar y colaborar en correos electrónicos.

Desde un usuario regular, verifica aquí las instrucciones para intentar delegar tu acceso

(Información copiada de la documentación)

Puedes agregar hasta 10 delegados.

Si estás usando Gmail a través de tu trabajo, escuela u otra organización:

Puedes agregar hasta 1000 delegados dentro de tu organización.
Con el uso típico, 40 delegados pueden acceder a una cuenta de Gmail al mismo tiempo.
Si usas procesos automatizados, como APIs o extensiones de navegador, unos pocos delegados pueden acceder a una cuenta de Gmail al mismo tiempo.

En tu computadora, abre Gmail. No puedes agregar delegados desde la aplicación de Gmail.
En la parte superior derecha, haz clic en Configuración Ver todas las configuraciones.
Haz clic en la pestaña Cuentas e importación o Cuentas.
En la sección "Otorgar acceso a tu cuenta", haz clic en Agregar otra cuenta. Si estás usando Gmail a través de tu trabajo o escuela, tu organización puede restringir la delegación de correo electrónico. Si no ves esta configuración, contacta a tu administrador.

Si no ves "Otorgar acceso a tu cuenta", entonces está restringido.

Ingresa la dirección de correo electrónico de la persona que deseas agregar. Si estás usando Gmail a través de tu trabajo, escuela u otra organización, y tu administrador lo permite, puedes ingresar la dirección de correo electrónico de un grupo. Este grupo debe tener el mismo dominio que tu organización. Los miembros externos del grupo no tienen acceso a la delegación. Importante: Si la cuenta que delegas es una cuenta nueva o la contraseña fue restablecida, el administrador debe desactivar el requisito de cambiar la contraseña cuando inicias sesión por primera vez.

6. Haz clic en Siguiente paso Enviar correo para otorgar acceso.

La persona que agregaste recibirá un correo pidiéndole que confirme. La invitación expira después de una semana.

Si agregaste un grupo, todos los miembros del grupo se convertirán en delegados sin necesidad de confirmar.

Nota: Puede tardar hasta 24 horas para que la delegación comience a tener efecto.

Persistencia a través de la aplicación de Android

Si tienes una sesión dentro de la cuenta de Google de la víctima, puedes navegar a la Play Store y podrías ser capaz de instalar malware que ya has subido a la tienda directamente en el teléfono para mantener la persistencia y acceder al teléfono de la víctima.

Persistencia a través de Scripts de Aplicaciones

Puedes crear disparadores basados en tiempo en Scripts de Aplicaciones, así que si el Script de Aplicación es aceptado por el usuario, se activará incluso sin que el usuario acceda a él. Para más información sobre cómo hacer esto, consulta:

GWS - App Scripts

Referencias

https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch y Beau Bullock - OK Google, ¿Cómo hago Red Team GSuite?

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repos de github.

PreviousGWS - Post Exploitation NextGWS - Google Platforms Phishing

Last updated 1 month ago