Français - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GWS - Persistence

Soutenir HackTricks

Toutes les actions mentionnées dans cette section qui modifient les paramètres généreront une alerte de sécurité à l'email et même une notification push à tout mobile synchronisé avec le compte.

Persistance dans Gmail

  • Vous pouvez créer des filtres pour cacher les notifications de sécurité de Google

  • from: (no-reply@accounts.google.com) "Alerte de sécurité"

  • Cela empêchera les emails de sécurité d'atteindre l'email (mais n'empêchera pas les notifications push sur le mobile)

Étapes pour créer un filtre gmail

(Instructions ici)

  1. Ouvrez Gmail.

  2. Dans la barre de recherche en haut, cliquez sur Afficher les options de recherche .

  3. Entrez vos critères de recherche. Si vous voulez vérifier que votre recherche a fonctionné correctement, voyez quels emails apparaissent en cliquant sur Rechercher.

  4. En bas de la fenêtre de recherche, cliquez sur Créer un filtre.

  5. Choisissez ce que vous souhaitez que le filtre fasse.

  6. Cliquez sur Créer un filtre.

Vérifiez votre filtre actuel (pour les supprimer) à https://mail.google.com/mail/u/0/#settings/filters

  • Créez une adresse de transfert pour transférer des informations sensibles (ou tout) - Vous avez besoin d'un accès manuel.

  • Créez une adresse de transfert à https://mail.google.com/mail/u/2/#settings/fwdandpop

  • L'adresse de réception devra confirmer cela

  • Ensuite, définissez pour transférer tous les emails tout en gardant une copie (n'oubliez pas de cliquer sur enregistrer les modifications) :

Il est également possible de créer des filtres et de transférer uniquement des emails spécifiques à l'autre adresse email.

Mots de passe d'application

Si vous avez réussi à compromettre une session utilisateur Google et que l'utilisateur avait 2FA, vous pouvez générer un mot de passe d'application (suivez le lien pour voir les étapes). Notez que les mots de passe d'application ne sont plus recommandés par Google et sont révoqués lorsque l'utilisateur change son mot de passe de compte Google.

Même si vous avez une session ouverte, vous devrez connaître le mot de passe de l'utilisateur pour créer un mot de passe d'application.

Les mots de passe d'application peuvent uniquement être utilisés avec des comptes ayant la Vérification en 2 étapes activée.

Changer 2-FA et similaire

Il est également possible de désactiver 2-FA ou d'enrôler un nouvel appareil (ou numéro de téléphone) sur cette page https://myaccount.google.com/security. Il est également possible de générer des clés d'accès (ajoutez votre propre appareil), de changer le mot de passe, d'ajouter des numéros de mobile pour les téléphones de vérification et de récupération, de changer l'email de récupération et de changer les questions de sécurité).

Pour empêcher les notifications push de sécurité d'atteindre le téléphone de l'utilisateur, vous pourriez déconnecter son smartphone (bien que cela soit étrange) car vous ne pouvez pas le reconnecter à partir d'ici.

Il est également possible de localiser l'appareil.

Même si vous avez une session ouverte, vous devrez connaître le mot de passe de l'utilisateur pour changer ces paramètres.

Persistance via les applications OAuth

Si vous avez compromis le compte d'un utilisateur, vous pouvez simplement accepter d'accorder toutes les permissions possibles à une application OAuth. Le seul problème est que Workspace peut être configuré pour interdire les applications OAuth externes et/ou internes non examinées. Il est assez courant que les organisations Workspace ne fassent pas confiance par défaut aux applications OAuth externes mais fassent confiance aux internes, donc si vous avez suffisamment de permissions pour générer une nouvelle application OAuth à l'intérieur de l'organisation et que les applications externes sont interdites, générez-la et utilisez cette nouvelle application OAuth interne pour maintenir la persistance.

Consultez la page suivante pour plus d'informations sur les applications OAuth :

GWS - Google Platforms Phishing

Persistance via délégation

Vous pouvez simplement déléguer le compte à un autre compte contrôlé par l'attaquant (si vous êtes autorisé à le faire). Dans les organisations Workspace, cette option doit être activée. Elle peut être désactivée pour tout le monde, activée pour certains utilisateurs/groupes ou pour tout le monde (généralement, elle est uniquement activée pour certains utilisateurs/groupes ou complètement désactivée).

Si vous êtes un administrateur Workspace, vérifiez ceci pour activer la fonctionnalité

(Informations copiées des docs)

En tant qu'administrateur de votre organisation (par exemple, votre travail ou votre école), vous contrôlez si les utilisateurs peuvent déléguer l'accès à leur compte Gmail. Vous pouvez permettre à tout le monde d'avoir l'option de déléguer leur compte. Ou, seulement laisser certaines personnes dans certains départements configurer la délégation. Par exemple, vous pouvez :

  • Ajouter un assistant administratif en tant que délégué sur votre compte Gmail afin qu'il puisse lire et envoyer des emails en votre nom.

  • Ajouter un groupe, comme votre département des ventes, dans les Groupes en tant que délégué pour donner à tout le monde accès à un compte Gmail.

Les utilisateurs ne peuvent déléguer l'accès qu'à un autre utilisateur de la même organisation, quel que soit leur domaine ou leur unité organisationnelle.

Limites et restrictions de délégation

  • Autoriser les utilisateurs à accorder l'accès à leur boîte aux lettres à un groupe Google option : Pour utiliser cette option, elle doit être activée pour l'OU du compte délégué et pour chaque membre du groupe OU. Les membres du groupe appartenant à une OU sans cette option activée ne peuvent pas accéder au compte délégué.

  • Avec une utilisation typique, 40 utilisateurs délégués peuvent accéder à un compte Gmail en même temps. Une utilisation supérieure à la moyenne par un ou plusieurs délégués pourrait réduire ce nombre.

  • Les processus automatisés qui accèdent fréquemment à Gmail pourraient également réduire le nombre de délégués pouvant accéder à un compte en même temps. Ces processus incluent les API ou les extensions de navigateur qui accèdent fréquemment à Gmail.

  • Un seul compte Gmail prend en charge jusqu'à 1 000 délégués uniques. Un groupe dans les Groupes compte comme un délégué vers la limite.

  • La délégation n'augmente pas les limites pour un compte Gmail. Les comptes Gmail avec des utilisateurs délégués ont les limites et politiques standard des comptes Gmail. Pour plus de détails, visitez Limites et politiques Gmail.

Étape 1 : Activer la délégation Gmail pour vos utilisateurs

Avant de commencer : Pour appliquer le paramètre à certains utilisateurs, placez leurs comptes dans une unité organisationnelle.

  1. Connectez-vous à votre console d'administration Google.

  • Afficher le propriétaire du compte et le délégué qui a envoyé l'email—Les messages incluent les adresses email du propriétaire du compte Gmail et du délégué.

  • Afficher uniquement le propriétaire du compte—Les messages incluent l'adresse email uniquement du propriétaire du compte Gmail. L'adresse email du délégué n'est pas incluse.

  1. (Optionnel) Pour permettre aux utilisateurs d'ajouter un groupe dans les Groupes en tant que délégué, cochez la case Autoriser les utilisateurs à accorder l'accès à leur boîte aux lettres à un groupe Google.

  2. Cliquez sur Enregistrer. Si vous avez configuré une unité organisationnelle enfant, vous pourriez être en mesure de Hériter ou Remplacer les paramètres d'une unité organisationnelle parente.

  3. (Optionnel) Pour activer la délégation Gmail pour d'autres unités organisationnelles, répétez les étapes 3 à 9.

Les changements peuvent prendre jusqu'à 24 heures mais se produisent généralement plus rapidement. En savoir plus

Étape 2 : Demandez aux utilisateurs de configurer des délégués pour leurs comptes

Après avoir activé la délégation, vos utilisateurs vont dans leurs paramètres Gmail pour assigner des délégués. Les délégués peuvent alors lire, envoyer et recevoir des messages en leur nom.

Pour plus de détails, dirigez les utilisateurs vers Déléguer et collaborer sur des emails.

En tant qu'utilisateur régulier, vérifiez ici les instructions pour essayer de déléguer votre accès

(Info copiée des docs)

Vous pouvez ajouter jusqu'à 10 délégués.

Si vous utilisez Gmail via votre travail, votre école ou une autre organisation :

  • Vous pouvez ajouter jusqu'à 1000 délégués au sein de votre organisation.

  • Avec une utilisation typique, 40 délégués peuvent accéder à un compte Gmail en même temps.

  • Si vous utilisez des processus automatisés, tels que des API ou des extensions de navigateur, quelques délégués peuvent accéder à un compte Gmail en même temps.

  1. Sur votre ordinateur, ouvrez Gmail. Vous ne pouvez pas ajouter de délégués depuis l'application Gmail.

  2. En haut à droite, cliquez sur Paramètres Voir tous les paramètres.

  3. Cliquez sur l'onglet Comptes et importation ou Comptes.

  4. Dans la section "Accorder l'accès à votre compte", cliquez sur Ajouter un autre compte. Si vous utilisez Gmail via votre travail ou votre école, votre organisation peut restreindre la délégation d'email. Si vous ne voyez pas ce paramètre, contactez votre administrateur.

  • Si vous ne voyez pas Accorder l'accès à votre compte, alors c'est restreint.

  1. Entrez l'adresse email de la personne que vous souhaitez ajouter. Si vous utilisez Gmail via votre travail, votre école ou une autre organisation, et que votre administrateur le permet, vous pouvez entrer l'adresse email d'un groupe. Ce groupe doit avoir le même domaine que votre organisation. Les membres externes du groupe se voient refuser l'accès à la délégation. Important : Si le compte que vous déléguez est un nouveau compte ou que le mot de passe a été réinitialisé, l'administrateur doit désactiver l'exigence de changement de mot de passe lors de votre première connexion.

La personne que vous avez ajoutée recevra un email lui demandant de confirmer. L'invitation expire après une semaine.

Si vous avez ajouté un groupe, tous les membres du groupe deviendront des délégués sans avoir à confirmer.

Remarque : Il peut falloir jusqu'à 24 heures pour que la délégation commence à prendre effet.

Persistance via l'application Android

Si vous avez une session dans le compte Google des victimes, vous pouvez naviguer vers le Play Store et pourriez être en mesure d'installer un malware que vous avez déjà téléchargé sur le store directement sur le téléphone pour maintenir la persistance et accéder au téléphone des victimes.

Persistance via les scripts d'application

Vous pouvez créer des déclencheurs basés sur le temps dans les scripts d'application, donc si le script d'application est accepté par l'utilisateur, il sera déclenché même sans que l'utilisateur y accède. Pour plus d'informations sur la façon de faire cela, consultez :

GWS - App Scripts

Références

Soutenir HackTricks
PreviousGWS - Post ExploitationNextGWS - Google Platforms Phishing

Last updated