Polish - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GWS - Persistence

Wsparcie dla HackTricks

Wszystkie działania wymienione w tej sekcji, które zmieniają ustawienia, wygenerują powiadomienie o bezpieczeństwie na e-mail oraz powiadomienie push na każdym urządzeniu mobilnym zsynchronizowanym z kontem.

Utrzymywanie dostępu w Gmailu

  • Możesz stworzyć filtry, aby ukryć powiadomienia o bezpieczeństwie od Google

  • from: (no-reply@accounts.google.com) "Security Alert"

  • To zapobiegnie dotarciu e-maili o bezpieczeństwie do skrzynki (ale nie zapobiegnie powiadomieniom push na telefonie)

Kroki do stworzenia filtru w gmailu

(Instrukcje tutaj)

  1. Otwórz Gmail.

  3. Wprowadź kryteria wyszukiwania. Jeśli chcesz sprawdzić, czy wyszukiwanie działa poprawnie, zobacz, jakie e-maile się pojawią, klikając Szukaj.

  4. Na dole okna wyszukiwania kliknij Utwórz filtr.

  5. Wybierz, co chciałbyś, aby filtr robił.

  6. Kliknij Utwórz filtr.

Sprawdź swoje aktualne filtry (aby je usunąć) w https://mail.google.com/mail/u/0/#settings/filters

  • Stwórz adres do przekazywania, aby przesyłać wrażliwe informacje (lub wszystko) - potrzebujesz dostępu manualnego.

  • Stwórz adres do przekazywania w https://mail.google.com/mail/u/2/#settings/fwdandpop

  • Odbierający adres będzie musiał to potwierdzić

  • Następnie ustaw, aby przekazywać wszystkie e-maile, zachowując kopię (pamiętaj, aby kliknąć zapisz zmiany):

Możliwe jest również stworzenie filtrów i przekazywanie tylko określonych e-maili na inny adres e-mail.

Hasła aplikacji

Jeśli udało ci się przejąć sesję użytkownika Google i użytkownik miał 2FA, możesz wygenerować hasło aplikacji (śledź link, aby zobaczyć kroki). Zauważ, że Hasła aplikacji nie są już zalecane przez Google i są unieważniane, gdy użytkownik zmienia hasło do swojego konta Google.

Nawet jeśli masz otwartą sesję, będziesz musiał znać hasło użytkownika, aby utworzyć hasło aplikacji.

Hasła aplikacji mogą być używane tylko z kontami, które mają włączoną Weryfikację dwuetapową.

Zmiana 2-FA i podobne

Możliwe jest również wyłączenie 2-FA lub zarejestrowanie nowego urządzenia (lub numeru telefonu) na tej stronie https://myaccount.google.com/security. Możliwe jest również generowanie kluczy dostępu (dodanie własnego urządzenia), zmiana hasła, dodawanie numerów telefonów do weryfikacji i odzyskiwania, zmiana e-maila do odzyskiwania oraz zmiana pytań zabezpieczających).

Aby zapobiec powiadomieniom push o bezpieczeństwie docierającym do telefonu użytkownika, możesz wylogować jego smartfona (chociaż byłoby to dziwne), ponieważ nie możesz ponownie zalogować go stąd.

Możliwe jest również zlokalizowanie urządzenia.

Nawet jeśli masz otwartą sesję, będziesz musiał znać hasło użytkownika, aby zmienić te ustawienia.

Utrzymywanie dostępu za pomocą aplikacji OAuth

Jeśli przejąłeś konto użytkownika, możesz po prostu zaakceptować przyznanie wszystkich możliwych uprawnień dla Aplikacji OAuth. Jedynym problemem jest to, że Workspace może być skonfigurowany tak, aby zabraniać nieprzeglądanych zewnętrznych i/lub wewnętrznych aplikacji OAuth. Jest dość powszechne, że organizacje Workspace domyślnie nie ufają zewnętrznym aplikacjom OAuth, ale ufają wewnętrznym, więc jeśli masz wystarczające uprawnienia, aby wygenerować nową aplikację OAuth w organizacji, a zewnętrzne aplikacje są zabronione, wygeneruj ją i użyj tej nowej wewnętrznej aplikacji OAuth, aby utrzymać dostęp.

Sprawdź następującą stronę, aby uzyskać więcej informacji na temat aplikacji OAuth:

GWS - Google Platforms Phishing

Utrzymywanie dostępu poprzez delegację

Możesz po prostu delegować konto do innego konta kontrolowanego przez atakującego (jeśli masz na to pozwolenie). W organizacjach Workspace ta opcja musi być włączona. Może być wyłączona dla wszystkich, włączona dla niektórych użytkowników/grup lub dla wszystkich (zwykle jest włączona tylko dla niektórych użytkowników/grup lub całkowicie wyłączona).

Jeśli jesteś administratorem Workspace, sprawdź to, aby włączyć funkcję

(Informacje skopiowane z dokumentacji)

Jako administrator swojej organizacji (na przykład w pracy lub szkole) kontrolujesz, czy użytkownicy mogą delegować dostęp do swojego konta Gmail. Możesz pozwolić wszystkim na opcję delegowania swojego konta. Lub tylko pozwolić osobom w niektórych działach na skonfigurowanie delegacji. Na przykład możesz:

  • Dodać asystenta administracyjnego jako delegata na swoim koncie Gmail, aby mógł czytać i wysyłać e-maile w twoim imieniu.

  • Dodać grupę, taką jak twój dział sprzedaży, w Grupach jako delegata, aby dać wszystkim dostęp do jednego konta Gmail.

Użytkownicy mogą delegować dostęp tylko do innego użytkownika w tej samej organizacji, niezależnie od ich domeny lub jednostki organizacyjnej.

Limity i ograniczenia delegacji

  • Zezwól użytkownikom na przyznanie dostępu do swojej skrzynki pocztowej grupie Google opcja: Aby użyć tej opcji, musi być włączona dla OU delegowanego konta i dla każdego członka grupy OU. Członkowie grupy, którzy należą do OU bez tej opcji włączonej, nie mogą uzyskać dostępu do delegowanego konta.

  • Przy typowym użyciu 40 delegowanych użytkowników może uzyskać dostęp do konta Gmail w tym samym czasie. Powyżej przeciętnego użycia przez jednego lub więcej delegatów może zmniejszyć tę liczbę.

  • Zautomatyzowane procesy, które często uzyskują dostęp do Gmaila, mogą również zmniejszyć liczbę delegatów, którzy mogą uzyskać dostęp do konta w tym samym czasie. Procesy te obejmują API lub rozszerzenia przeglądarki, które często uzyskują dostęp do Gmaila.

  • Jedno konto Gmail obsługuje do 1,000 unikalnych delegatów. Grupa w Grupach liczy się jako jeden delegat w kierunku limitu.

  • Delegacja nie zwiększa limitów dla konta Gmail. Konta Gmail z delegowanymi użytkownikami mają standardowe limity i zasady konta Gmail. Aby uzyskać szczegóły, odwiedź Limity i zasady Gmaila.

Krok 1: Włącz delegację Gmaila dla swoich użytkowników

Zanim zaczniesz: Aby zastosować ustawienie dla niektórych użytkowników, umieść ich konta w jednostce organizacyjnej.

  1. Zaloguj się do swojego konsoli administracyjnej Google.

  • Pokaż właściciela konta i delegata, który wysłał e-mail—Wiadomości zawierają adresy e-mail właściciela konta Gmail i delegata.

  • Pokaż tylko właściciela konta—Wiadomości zawierają adres e-mail tylko właściciela konta Gmail. Adres e-mail delegata nie jest zawarty.

  1. (Opcjonalnie) Aby pozwolić użytkownikom dodać grupę w Grupach jako delegata, zaznacz pole Zezwól użytkownikom na przyznanie dostępu do swojej skrzynki pocztowej grupie Google.

  2. Kliknij Zapisz. Jeśli skonfigurowałeś podrzędną jednostkę organizacyjną, możesz być w stanie Dziedziczyć lub Nadpisać ustawienia jednostki organizacyjnej nadrzędnej.

  3. (Opcjonalnie) Aby włączyć delegację Gmaila dla innych jednostek organizacyjnych, powtórz kroki 3–9.

Zmiany mogą zająć do 24 godzin, ale zazwyczaj zachodzą szybciej. Dowiedz się więcej

Krok 2: Niech użytkownicy skonfigurują delegatów dla swoich kont

Po włączeniu delegacji użytkownicy przechodzą do ustawień Gmaila, aby przypisać delegatów. Delegaci mogą następnie czytać, wysyłać i odbierać wiadomości w imieniu użytkownika.

Aby uzyskać szczegóły, skieruj użytkowników do Delegowanie i współpraca w e-mailu.

Jako zwykły użytkownik, sprawdź tutaj instrukcje, aby spróbować delegować swój dostęp

(Informacje skopiowane z dokumentacji)

Możesz dodać do 10 delegatów.

Jeśli korzystasz z Gmaila przez swoją pracę, szkołę lub inną organizację:

  • Możesz dodać do 1000 delegatów w swojej organizacji.

  • Przy typowym użyciu 40 delegatów może uzyskać dostęp do konta Gmail w tym samym czasie.

  • Jeśli używasz zautomatyzowanych procesów, takich jak API lub rozszerzenia przeglądarki, kilku delegatów może uzyskać dostęp do konta Gmail w tym samym czasie.

  1. Na swoim komputerze otwórz Gmail. Nie możesz dodać delegatów z aplikacji Gmail.

  3. Kliknij zakładkę Konta i import lub Konta.

  4. W sekcji "Przyznaj dostęp do swojego konta" kliknij Dodaj inne konto. Jeśli korzystasz z Gmaila przez swoją pracę lub szkołę, twoja organizacja może ograniczyć delegację e-maili. Jeśli nie widzisz tego ustawienia, skontaktuj się z administratorem.

  • Jeśli nie widzisz opcji Przyznaj dostęp do swojego konta, to jest ona ograniczona.

  1. Wprowadź adres e-mail osoby, którą chcesz dodać. Jeśli korzystasz z Gmaila przez swoją pracę, szkołę lub inną organizację, a twój administrator na to pozwala, możesz wprowadzić adres e-mail grupy. Ta grupa musi mieć tę samą domenę co twoja organizacja. Zewnętrzni członkowie grupy są odrzucani w dostępie do delegacji. Ważne: Jeśli konto, które delegujesz, jest nowym kontem lub hasło zostało zresetowane, administrator musi wyłączyć wymóg zmiany hasła przy pierwszym logowaniu.

Osoba, którą dodałeś, otrzyma e-mail z prośbą o potwierdzenie. Zaproszenie wygasa po tygodniu.

Jeśli dodałeś grupę, wszyscy członkowie grupy staną się delegatami bez konieczności potwierdzania.

Uwaga: Może zająć do 24 godzin, aby delegacja zaczęła obowiązywać.

Utrzymywanie dostępu za pomocą aplikacji Android

Jeśli masz sesję w koncie Google ofiary, możesz przeglądać Sklep Play i być może będziesz w stanie zainstalować złośliwe oprogramowanie, które już przesłałeś do sklepu bezpośrednio na telefonie, aby utrzymać dostęp i uzyskać dostęp do telefonu ofiary.

Utrzymywanie dostępu za pomocą Skryptów Aplikacji

Możesz stworzyć wyzwalacze czasowe w Skryptach Aplikacji, więc jeśli Skrypt Aplikacji zostanie zaakceptowany przez użytkownika, zostanie wyzwolony nawet bez dostępu użytkownika. Aby uzyskać więcej informacji na ten temat, sprawdź:

GWS - App Scripts

Referencje

Wsparcie dla HackTricks
PreviousGWS - Post ExploitationNextGWS - Google Platforms Phishing

Last updated