GWS - Persistence
Wszystkie działania wymienione w tej sekcji, które zmieniają ustawienia, spowodują alert bezpieczeństwa na e-mail i nawet powiadomienie push na dowolne zsynchronizowane urządzenie mobilne z kontem.
Wytrwałość w Gmailu
Możesz utworzyć filtry, aby ukryć powiadomienia o bezpieczeństwie od Google
from: (no-reply@accounts.google.com) "Security Alert"
To uniemożliwi dotarcie e-maili z powiadomieniami o bezpieczeństwie do skrzynki e-mailowej (ale nie uniemożliwi powiadomień push na urządzenie mobilne)
Utwórz adres przekierowania do przekazywania wrażliwych informacji (lub wszystkiego) - Wymagane jest ręczne dostęp.
Utwórz adres przekierowania w https://mail.google.com/mail/u/2/#settings/fwdandpop
Adres odbiorczy będzie musiał to potwierdzić
Następnie ustaw przekazywanie wszystkich e-maili, zachowując kopię (pamiętaj, aby kliknąć Zapisz zmiany):
Możliwe jest również tworzenie filtrów i przekazywanie tylko określonych e-maili na inny adres e-mail.
Hasła aplikacji
Jeśli udało ci się skompromitować sesję użytkownika Google i użytkownik miał 2FA, możesz wygenerować hasło aplikacji (zajrzyj pod link, aby zobaczyć kroki). Zauważ, że Hasła aplikacji nie są już zalecane przez Google i są odwoływane, gdy użytkownik zmienia hasło do konta Google.
Nawet jeśli masz otwartą sesję, będziesz musiał znać hasło użytkownika, aby utworzyć hasło aplikacji.
Hasła aplikacji można używać tylko z kontami, na których włączona jest weryfikacja dwuetapowa.
Zmiana 2-FA i podobne
Możliwe jest również wyłączenie 2-FA lub zarejestrowanie nowego urządzenia (lub numeru telefonu) na tej stronie https://myaccount.google.com/security. Możliwe jest również generowanie kluczy dostępu (dodawanie własnego urządzenia), zmiana hasła, dodawanie numerów telefonów do weryfikacji telefonów i odzyskiwania, zmiana e-maila odzyskiwania oraz zmiana pytań zabezpieczających).
Aby zapobiec dotarciu powiadomień push o bezpieczeństwie do telefonu użytkownika, możesz wylogować jego smartfon (choć byłoby to dziwne), ponieważ nie możesz zalogować go ponownie stąd.
Możliwe jest również lokalizowanie urządzenia.
Nawet jeśli masz otwartą sesję, będziesz musiał znać hasło użytkownika, aby zmienić te ustawienia.
Wytrwałość za pomocą aplikacji OAuth
Jeśli skompromitowałeś konto użytkownika, możesz po prostu zaakceptować udzielenie wszystkich możliwych uprawnień aplikacji OAuth. Jedynym problemem jest to, że Workspace może być skonfigurowane, aby nie zezwalać na niezweryfikowane zewnętrzne i/lub wewnętrzne aplikacje OAuth. Jest dość powszechne, że Organizacje Workspace domyślnie nie ufają zewnętrznym aplikacjom OAuth, ale ufają wewnętrznym, więc jeśli masz wystarczające uprawnienia do wygenerowania nowej aplikacji OAuth wewnątrz organizacji i aplikacje zewnętrzne są niedozwolone, wygeneruj ją i użyj tej nowej wewnętrznej aplikacji OAuth do utrzymania wytrwałości.
Sprawdź następującą stronę, aby uzyskać więcej informacji na temat aplikacji OAuth:
pageGWS - Google Platforms PhishingWytrwałość poprzez delegację
Możesz po prostu delegować konto do innego konta kontrolowanego przez atakującego (jeśli masz na to zezwolenie). W Organizacjach Workspace ta opcja musi być włączona. Może być wyłączona dla wszystkich, włączona dla niektórych użytkowników/grup lub dla wszystkich (zazwyczaj jest włączona tylko dla niektórych użytkowników/grup lub całkowicie wyłączona).
* **Podziel się swoimi sztuczkami hakowania, przesyłając PR-y do** [**HackTricks**](https://github.com/carlospolop/hacktricks) **i** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **na githubie.**
Last updated