Serbian - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GWS - Persistence

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Sve radnje navedene u ovom odeljku koje menjaju postavke će generisati bezbednosno upozorenje putem e-pošte i čak obaveštenje za guranje na bilo koji sinhronizovani mobilni uređaj sa nalogom.

Upornost u Gmail-u

  • Možete kreirati filtere da sakrijete bezbednosna obaveštenja od Google-a

  • from: (no-reply@accounts.google.com) "Security Alert"

  • Ovo će sprečiti bezbednosne e-poruke da stignu na e-poštu (ali neće sprečiti obaveštenja za guranje na mobilni uređaj)

Koraci za kreiranje Gmail filtera

(Instrukcije sa ovde)

  1. Otvorite Gmail.

  3. Unesite svoje kriterijume pretrage. Ako želite da proverite da li je pretraga uspela, vidite koje e-poruke se pojavljuju klikom na Pretraga.

  4. Na dnu prozora pretrage, kliknite na Kreiraj filter.

  5. Izaberite šta želite da filter uradi.

  6. Kliknite na Kreiraj filter.

Proverite svoje trenutne filtere (za brisanje) na https://mail.google.com/mail/u/0/#settings/filters

  • Kreirajte adresu za prosleđivanje da prosledite osetljive informacije (ili sve) - Potreban je ručni pristup.

  • Kreirajte adresu za prosleđivanje na https://mail.google.com/mail/u/2/#settings/fwdandpop

  • Adresa primaoca će morati da potvrdi ovo

  • Zatim, postavite da prosleđujete sve e-poruke čuvajući kopiju (ne zaboravite da kliknete na sačuvaj promene):

Takođe je moguće kreirati filtere i proslediti samo određene e-poruke na drugu e-adresu.

Lozinke aplikacija

Ako ste uspeli da kompromitujete sesiju korisnika Google-a i korisnik je imao 2FA, možete generisati lozinku aplikacije (pratite link da vidite korake). Imajte na umu da Google više ne preporučuje lozinke aplikacija i one se poništavaju kada korisnik promeni lozinku svog Google naloga.

Čak i ako imate otvorenu sesiju, moraćete znati lozinku korisnika da biste kreirali lozinku aplikacije.

Lozinke aplikacija mogu se koristiti samo sa nalozima koji imaju uključenu dvostepenu verifikaciju.

Promena 2-FA i slično

Takođe je moguće isključiti 2-FA ili upisati novi uređaj (ili broj telefona) na ovoj stranici https://myaccount.google.com/security. Takođe je moguće generisati šifre (dodati svoj uređaj), promeniti lozinku, dodati mobilne brojeve za verifikaciju telefona i oporavak, promeniti e-poštu za oporavak i promeniti sigurnosna pitanja).

Da biste sprečili bezbednosna obaveštenja za guranje da stignu na telefon korisnika, možete ga odjaviti sa svog pametnog telefona (iako bi to bilo čudno) jer ga ne možete ponovo prijaviti sa ove stranice.

Takođe je moguće locirati uređaj.

Čak i ako imate otvorenu sesiju, moraćete znati lozinku korisnika da biste promenili ove postavke.

Upornost putem OAuth aplikacija

Ako ste kompromitovali nalog korisnika, možete jednostavno prihvatiti da dodelite sve moguće dozvole OAuth aplikaciji. Jedini problem je što Workspace može biti konfigurisan da ne dozvoljava neodobrene spoljne i/ili interne OAuth aplikacije. Prilično je uobičajeno da organizacije Workspace-a ne veruju podrazumevano spoljnim OAuth aplikacijama, ali veruju internim, pa ako imate dovoljno dozvola da generišete novu OAuth aplikaciju unutar organizacije i spoljne aplikacije su zabranjene, generišite je i koristite tu novu internu OAuth aplikaciju za održavanje upornosti.

Proverite sledeću stranicu za više informacija o OAuth aplikacijama:

pageGWS - Google Platforms Phishing

Upornost putem delegacije

Možete jednostavno delegirati nalog drugom nalogu koji kontroliše napadač (ako vam je dozvoljeno da to uradite). U Workspace organizacijama ova opcija mora biti omogućena. Može biti onemogućena za sve, omogućena za neke korisnike/grupe ili za sve (obično je omogućena samo za neke korisnike/grupe ili potpuno onemogućena).

Ako ste administrator Workspace-a, proverite ovo da omogućite funkciju

(Informacije kopirane sa dokumenata)

Kao administrator za vašu organizaciju (na primer, vaš posao ili škola), kontrolišete da li korisnici mogu delegirati pristup svom Gmail nalogu. Možete dozvoliti svima da imaju opciju da delegiraju svoj nalog. Ili, dozvoliti samo ljudima u određenim odeljenjima da postave delegaciju. Na primer, možete:

  • Dodati administrativnog asistenta kao delegata na vaš Gmail nalog tako da mogu čitati i slati e-poštu u vaše ime.

  • Dodati grupu, poput vašeg odeljenja prodaje, u Grupe kao delegata da svima omogućite pristup jednom Gmail nalogu.

Korisnici mogu delegirati pristup samo drugom korisniku u istoj organizaciji, bez obzira na njihov domen ili organizacionu jedinicu.

Ograničenja i restrikcije delegacije

  • Dozvoli korisnicima da dodele pristup svojoj poštanskoj sandučiću Google grupi opcija: Da biste koristili ovu opciju, mora biti omogućena za OU delegiranog naloga i za OU svakog člana grupe. Članovi grupe koji pripadaju OU-u bez ove opcije omogućene ne mogu pristupiti delegiranom nalogu.

  • Sa tipičnom upotrebom, 40 delegiranih korisnika može pristupiti Gmail nalogu istovremeno. Upotreba iznad proseka od strane jednog ili više delegata može smanjiti ovaj broj.

  • Automatizovani procesi koji često pristupaju Gmailu takođe mogu smanjiti broj delegata koji mogu pristupiti nalogu istovremeno. Ovi procesi uključuju API-je ili proširenja pregledača koji često pristupaju Gmailu.

  • Jedan Gmail nalog podržava do 1.000 jedinstvenih delegata. Grupa u Grupama se računa kao jedan delegat prema limitu.

  • Delegacija ne povećava limite za Gmail nalog. Gmail nalozi sa delegiranim korisnicima imaju standardne Gmail nalog limite i politike. Za detalje, posetite Gmail limite i politike.

Korak 1: Uključivanje Gmail delegacije za vaše korisnike

Pre nego što počnete: Da biste primenili podešavanje za određene korisnike, stavite njihove naloge u organizacionu jedinicu.

  1. Prijavite se na svoj Google Admin konzolu.

  • Prikaži vlasnika naloga i delegata koji je poslao email—Poruke uključuju email adrese vlasnika Gmail naloga i delegata.

  • Prikaži samo vlasnika naloga—Poruke uključuju email adresu samo vlasnika Gmail naloga. Email adresa delegata nije uključena.

  1. (Opciono) Da biste omogućili korisnicima da dodaju grupu u Grupama kao delegata, označite polje Dozvoli korisnicima da dodele pristup svojoj poštanskoj sandučići Google grupi.

  2. Kliknite na Sačuvaj. Ako ste konfigurisali podređenu organizacionu jedinicu, možda ćete moći da Nasledite ili Prepišete podešavanja roditeljske organizacione jedinice.

  3. (Opciono) Da biste uključili Gmail delegaciju za druge organizacione jedinice, ponovite korake 3–9.

Promene mogu potrajati do 24 sata, ali obično se dešavaju brže. Saznajte više

Korak 2: Neka korisnici podeše delegacije za svoje naloge

Nakon što uključite delegaciju, vaši korisnici idu u svoja Gmail podešavanja da dodele delegatima. Delegati mogu čitati, slati i primati poruke u ime korisnika.

Za detalje, uputite korisnike na Delegiranje i saradnju putem emaila.

Od običnog korisnika, proverite ovde uputstva kako da pokušate da delegirate pristup

(Informacije kopirane iz dokumenata)

Možete dodati do 10 delegata.

Ako koristite Gmail putem svog posla, škole ili druge organizacije:

  • Možete dodati do 1000 delegata unutar vaše organizacije.

  • Pri tipičnoj upotrebi, 40 delegata može pristupiti Gmail nalogu istovremeno.

  • Ako koristite automatizovane procese, kao što su API-ji ili ekstenzije pregledača, nekoliko delegata može pristupiti Gmail nalogu istovremeno.

  1. Na svom računaru, otvorite Gmail. Ne možete dodati delegate iz Gmail aplikacije.

  3. Kliknite na karticu Nalozi i uvoz ili Nalozi.

  4. U odeljku "Dodeli pristup svom nalogu", kliknite na Dodaj drugi nalog. Ako koristite Gmail putem svog posla ili škole, vaša organizacija može ograničiti delegiranje emaila. Ako ne vidite ovo podešavanje, kontaktirajte svog administratora.

  • Ako ne vidite Dodeli pristup svom nalogu, onda je ograničeno.

  1. Unesite email adresu osobe koju želite dodati. Ako koristite Gmail putem svog posla, škole ili druge organizacije, i ako vaš administrator to dozvoljava, možete uneti email adresu grupe. Ova grupa mora imati istu domenu kao vaša organizacija. Spoljni članovi grupe su odbijeni pristup delegaciji. Važno: Ako je nalog koji delegirate novi nalog ili je lozinka resetovana, Administrator mora isključiti zahtev za promenu lozinke kada se prvi put prijavite.

Osoba koju ste dodali će dobiti email sa zahtevom za potvrdu. Poziv ističe nakon nedelju dana.

Ako ste dodali grupu, svi članovi grupe postaće delegati bez potrebe za potvrdom.

Napomena: Može potrajati do 24 sata da delegacija počne da se primenjuje.

Upornost putem Android aplikacije

Ako imate sesiju unutar žrtvinog Google naloga možete pretražiti Play prodavnicu i možda moći instalirati malver koji ste već otpremili u prodavnicu direktno na telefon kako biste održali upornost i pristupili žrtvinom telefonu.

Upornost putem Skripti aplikacije

Možete kreirati trigere zasnovane na vremenu u Skriptama aplikacije, tako da ako korisnik prihvati Skript aplikaciju, ona će biti pokrenuta čak i bez pristupa korisnika. Za više informacija o tome kako to uraditi proverite:

pageGWS - App Scripts

Reference

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

PreviousGWS - Post ExploitationNextGWS - Google Platforms Phishing

Last updated