Поділіться своїми хакерськими трюками, надсилайте PR доHackTricks та HackTricks Cloud репозиторіїв GitHub.
Усі дії, згадані в цьому розділі, які змінюють налаштування, призведуть до сповіщення про безпеку на електронну пошту та навіть до сповіщення на мобільний пристрій, синхронізований з обліковим записом.
Наполегливість в Gmail
Ви можете створити фільтри для приховування повідомлень про безпеку від Google
Потім налаштуйте пересилання всіх електронних листів зі збереженням копії (не забудьте натиснути на збереження змін):
Також можна створювати фільтри та пересилати лише певні електронні листи на іншу адресу електронної пошти.
Паролі додатків
Якщо вам вдалося зламати сеанс користувача Google і у користувача була 2FA, ви можете створитипароль додатку (перейдіть за посиланням, щоб побачити кроки). Зверніть увагу, що Google більше не рекомендує використовувати паролі додатків і вони анулюються, коли користувач змінює свій пароль облікового запису Google.
Навіть якщо у вас є відкритий сеанс, вам потрібно буде знати пароль користувача, щоб створити пароль додатку.
Паролі додатків можна використовувати лише з обліковими записами, на яких увімкнено двоетапну перевірку.
Зміна 2-FA та подібне
Також можна вимкнути 2-FA або зареєструвати новий пристрій (або номер телефону) на цій сторінці https://myaccount.google.com/security.Також можна створювати парольні ключі (додавати власний пристрій), змінювати пароль, додавати номери телефонів для перевірки телефонів та відновлення, змінювати електронну адресу для відновлення та змінювати питання безпеки).
Щоб запобігти досягненню сповіщень про безпеку на телефон користувача, ви можете вийти з його смартфона (хоча це буде дивно), оскільки ви не можете знову увійти звідси.
Також можна визначити місцезнаходження пристрою.
Навіть якщо у вас є відкритий сеанс, вам потрібно буде знати пароль користувача, щоб змінити ці налаштування.
Наполегливість через додатки OAuth
Якщо ви зламали обліковий запис користувача, ви можете просто погодитися надати всі можливі дозволи додатку OAuth. Єдине, що може виникнути проблемою, є те, що Workspace може бути налаштований таким чином, що забороняється використання неперевірених зовнішніх та/або внутрішніх додатків OAuth.
Досить поширено, що Організації Workspace за замовчуванням не довіряють зовнішнім додаткам OAuth, але довіряють внутрішнім, тому якщо у вас є достатньо дозволів для створення нового додатку OAuth всередині організації і заборонені зовнішні додатки, створіть його та використовуйте цей новий внутрішній додаток OAuth для збереження наполегливості.
Перевірте наступну сторінку для отримання додаткової інформації про додатки OAuth:
Наполегливість через делегування
Ви можете просто делегувати обліковий запис іншому обліковому запису, керованому зловмисником (якщо вам дозволено це зробити). У Організаціях Workspace ця опція повинна бути увімкнена. Її можна вимкнути для всіх, увімкнути для деяких користувачів/груп або для всіх (зазвичай вона увімкнена лише для деяких користувачів/груп або повністю вимкнена).
Якщо ви є адміністратором Workspace, перевірте це, щоб увімкнути функцію
Як адміністратор вашої організації (наприклад, вашоєї роботи або школи), ви контролюєте можливість користувачів делегувати доступ до свого облікового запису Gmail. Ви можете дозволити всім мати можливість делегувати свій обліковий запис. Або дозволити лише людям у певних відділах налаштовувати делегування. Наприклад, ви можете:
Додати адміністративного помічника як делегата до свого облікового запису Gmail, щоб вони могли читати та надсилати електронні листи від вашого імені.
Додати групу, наприклад, ваш відділ продажів, в Групи як делегата, щоб всі мали доступ до одного облікового запису Gmail.
Користувачі можуть делегувати доступ до іншого користувача в тій же організації, незалежно від їх домену або їх організаційного підрозділу.
Обмеження та обмеження делегування
Опція Дозволити користувачам надавати доступ до своєї поштової скриньки групі Google: Щоб використовувати цю опцію, вона повинна бути увімкнена для ОП делегованого облікового запису та для кожного ОП членів групи. Члени групи, які належать до ОП без увімкненої цієї опції, не можуть отримати доступ до делегованого облікового запису.
Звичайне використання - 40 делегованих користувачів можуть отримати доступ до облікового запису Gmail одночасно. Вище середнього використання одним або кількома делегатами може зменшити це число.
Автоматизовані процеси, які часто отримують доступ до Gmail, також можуть зменшити кількість делегатів, які можуть отримати доступ до облікового запису одночасно. Ці процеси включають API або розширення браузера, які часто отримують доступ до Gmail.
Один обліковий запис Gmail підтримує до 1 000 унікальних делегатів. Група в Групах вважається одним делегатом для ліміту.
Делегування не збільшує ліміти для облікового запису Gmail. Облікові записи Gmail з делегованими користувачами мають стандартні ліміти та політику облікового запису Gmail. Для отримання деталей відвідайте Ліміти та політика Gmail.
Крок 1: Увімкніть делегування Gmail для ваших користувачів
Перед тим як почати: Щоб застосувати налаштування для певних користувачів, розмістіть їх облікові записи в організаційному підрозділі.
Показати власника облікового запису та делегата, який відправив електронного листа—Повідомлення включають адреси електронної пошти власника облікового запису Gmail та делегата.
Показати лише власника облікового запису—Повідомлення включають адресу електронної пошти лише власника облікового запису Gmail. Адреса електронної пошти делегата не включена.
(Необов'язково) Щоб дозволити користувачам додати групу в Групи як делегата, поставте позначку в Дозволити користувачам надавати доступ до своєї поштової скриньки групі Google.
Клацніть Зберегти. Якщо ви налаштували дочірній організаційний підрозділ, ви можете Успадкувати або Перевизначити налаштування батьківського організаційного підрозділу.
(Необов'язково) Щоб увімкнути делегування Gmail для інших організаційних підрозділів, повторіть кроки 3–9.
Зміни можуть зайняти до 24 годин, але зазвичай вони відбуваються швидше. Дізнатися більше
Крок 2: Просліджуйте, щоб користувачі налаштували делегатів для своїх облікових записів
Після увімкнення делегування ваші користувачі переходять до налаштувань своєї пошти Gmail, щоб призначити делегатів. Делегати можуть читати, відправляти та отримувати повідомлення від імені користувача.
Якщо ви використовуєте Gmail через свою роботу, школу або іншу організацію:
Ви можете додати до 1000 делегатів у межах вашої організації.
При типовому використанні 40 делегатів можуть отримувати доступ до облікового запису Gmail одночасно.
Якщо ви використовуєте автоматизовані процеси, такі як API або розширення браузера, декілька делегатів можуть отримувати доступ до облікового запису Gmail одночасно.
На вашому комп'ютері відкрийте Gmail. Ви не можете додавати делегатів з додатка Gmail.
Клацніть вкладку Облікові записи та імпорт або Облікові записи.
У розділі "Надання доступу до вашого облікового запису" клацніть Додати інший обліковий запис. Якщо ви використовуєте Gmail через роботу або школу, ваша організація може обмежувати делегування електронної пошти. Якщо ви не бачите цього налаштування, зверніться до адміністратора.
Якщо ви не бачите Надання доступу до вашого облікового запису, то воно обмежене.
Введіть адресу електронної пошти людини, яку ви хочете додати. Якщо ви використовуєте Gmail через роботу, школу або іншу організацію, і ваш адміністратор дозволяє це, ви можете ввести адресу електронної пошти групи. Ця група повинна мати той самий домен, що й ваша організація. Зовнішні члени групи не мають доступу до делегування.
Важливо: Якщо обліковий запис, який ви делегуєте, є новим обліковим записом або було скинуто пароль, адміністратор повинен вимкнути вимогу зміни пароля при першому вході.
Особа, яку ви додали, отримає електронний лист з проханням підтвердити. Запрошення закінчується через тиждень.
Якщо ви додали групу, всі члени групи стануть делегатами без необхідності підтвердження.
Примітка: Делегування може почати діяти протягом до 24 годин.
Постійність через додаток для Android
Якщо у вас є сесія в обліковому записі жертви Google, ви можете перейти до Play Store і, можливо, зможете встановити шкідливе програмне забезпечення, яке ви вже завантажили в магазин прямо на телефон, щоб зберегти постійний доступ до телефону жертви.
Постійність через Сценарії додатків
Ви можете створювати тригери на основі часу в Сценаріях додатків, тому якщо Сценарій додатка прийнятий користувачем, він буде запущений навіть без доступу користувача до нього. Для отримання додаткової інформації про це перевірте:
У полі пошуку у верхній частині натисніть Показати параметри пошуку .
Увійдіть за допомогою облікового запису адміністратора, а не вашого поточного облікового запису CarlosPolop@gmail.com. 2. У консолі адміністратора перейдіть до Меню ДодаткиGoogle WorkspaceGmailНалаштування користувачів. 3. Щоб застосувати налаштування до всіх, залиште вибраним верхній організаційний підрозділ. В іншому випадку, виберіть дочірнє організаційне підрозділ. 4. Клацніть Делегування пошти. 5. Поставте позначку в Дозволити користувачам делегувати доступ до своєї поштової скриньки іншим користувачам у домені. 6. (Необов'язково) Щоб дозволити користувачам вказувати, яка інформація відправника включена в делеговані повідомлення, поставте позначку в Дозволити користувачам налаштовувати це налаштування. 7. Виберіть варіант для типової інформації відправника, яка включена в повідомлення, відправлені делегатами:
У верхньому правому куті клацніть Налаштування Переглянути всі налаштування.
6. Клацніть Наступний крокНадіслати електронного листа для надання доступу.