HackTricks CloudGWS - Persistence
Reading time: 13 minutes
tip
AWS हैकिंग सीखें और अभ्यास करें:
HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: 
HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: 
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।
caution
इस अनुभाग में उल्लिखित सभी क्रियाएँ जो सेटिंग्स को बदलती हैं, ईमेल पर एक सुरक्षा अलर्ट और किसी भी मोबाइल पर एक पुश नोटिफिकेशन उत्पन्न करेंगी जो खाते के साथ समन्वयित है।
Gmail में स्थिरता
- आप Google से सुरक्षा सूचनाओं को छिपाने के लिए फिल्टर बना सकते हैं
from: (no-reply@accounts.google.com) "Security Alert"- यह सुरक्षा ईमेल को ईमेल तक पहुँचने से रोकेगा (लेकिन मोबाइल पर पुश नोटिफिकेशन को रोक नहीं पाएगा)
Gmail फ़िल्टर बनाने के चरण
(निर्देश यहाँ से)
- Gmail खोलें।
- शीर्ष पर खोज बॉक्स में, खोज विकल्प दिखाने के लिए क्लिक करें
.
- अपने खोज मानदंड दर्ज करें। यदि आप यह जांचना चाहते हैं कि आपकी खोज सही ढंग से काम कर रही है, तो खोज पर क्लिक करके देखें कि कौन से ईमेल दिखाई देते हैं।
- खोज विंडो के नीचे, फिल्टर बनाएँ पर क्लिक करें।
- चुनें कि आप फ़िल्टर को क्या करना चाहते हैं।
- फिल्टर बनाएँ पर क्लिक करें।
अपने वर्तमान फ़िल्टर की जांच करें (उन्हें हटाने के लिए) https://mail.google.com/mail/u/0/#settings/filters पर
.png)
- संवेदनशील जानकारी (या सब कुछ) को अग्रेषित करने के लिए अग्रेषण पता बनाएँ - आपको मैनुअल एक्सेस की आवश्यकता है।
- https://mail.google.com/mail/u/2/#settings/fwdandpop पर एक अग्रेषण पता बनाएँ
- प्राप्त करने वाले पते को इसकी पुष्टि करनी होगी
- फिर, सभी ईमेल को अग्रेषित करने के लिए सेट करें जबकि एक प्रति रखते हुए (बदलाव सहेजने के लिए क्लिक करना न भूलें):
.png)
यह भी संभव है कि फ़िल्टर बनाएँ और केवल विशिष्ट ईमेल को दूसरे ईमेल पते पर अग्रेषित करें।
ऐप पासवर्ड
यदि आप एक Google उपयोगकर्ता सत्र को समझौता करने में सफल रहे हैं और उपयोगकर्ता के पास 2FA है, तो आप एक ऐप पासवर्ड उत्पन्न कर सकते हैं (चरण देखने के लिए लिंक का पालन करें)। ध्यान दें कि **ऐप पासवर्ड अब Google द्वारा अनुशंसित नहीं हैं और जब उपयोगकर्ता अपने Google खाते का पासवर्ड बदलता है तो रद्द कर दिए जाते हैं।
यहां तक कि यदि आपके पास एक खुला सत्र है, तो आपको ऐप पासवर्ड बनाने के लिए उपयोगकर्ता का पासवर्ड जानना होगा।
note
ऐप पासवर्ड केवल उन खातों के साथ उपयोग किए जा सकते हैं जिनमें 2-चरणीय सत्यापन चालू है।
2-FA और समान में परिवर्तन
यह भी संभव है कि 2-FA बंद करें या एक नए डिवाइस (या फोन नंबर) को इस पृष्ठ https://myaccount.google.com/security** में नामांकित करें।**
यह पासकीज़ उत्पन्न करना भी संभव है (अपना डिवाइस जोड़ें), पासवर्ड बदलें, सत्यापन फोन और पुनर्प्राप्ति के लिए मोबाइल नंबर जोड़ें, पुनर्प्राप्ति ईमेल बदलें और सुरक्षा प्रश्न बदलें।
caution
उपयोगकर्ता के फोन पर सुरक्षा पुश नोटिफिकेशन पहुँचने से रोकने के लिए, आप उसके स्मार्टफोन को साइन आउट कर सकते हैं (हालांकि यह अजीब होगा) क्योंकि आप यहाँ से उसे फिर से साइन इन नहीं कर सकते।
यह भी संभव है कि डिवाइस को स्थानांतरित करें।
यहां तक कि यदि आपके पास एक खुला सत्र है, तो आपको इन सेटिंग्स को बदलने के लिए उपयोगकर्ता का पासवर्ड जानना होगा।
OAuth ऐप्स के माध्यम से स्थिरता
यदि आपने एक उपयोगकर्ता के खाते को समझौता किया है, तो आप बस OAuth ऐप को सभी संभावित अनुमतियाँ देने के लिए स्वीकृति दे सकते हैं। एकमात्र समस्या यह है कि Workspace को अवलोकित बाहरी और/या आंतरिक OAuth ऐप्स को अनुमति देने के लिए कॉन्फ़िगर किया जा सकता है।
यह Workspace संगठनों के लिए सामान्य है कि वे डिफ़ॉल्ट रूप से बाहरी OAuth ऐप्स पर भरोसा नहीं करते हैं लेकिन आंतरिक पर भरोसा करते हैं, इसलिए यदि आपके पास संगठन के भीतर एक नया OAuth एप्लिकेशन उत्पन्न करने के लिए पर्याप्त अनुमतियाँ हैं और बाहरी ऐप्स अवरुद्ध हैं, तो इसे उत्पन्न करें और स्थिरता बनाए रखने के लिए उस नए आंतरिक OAuth ऐप का उपयोग करें।
OAuth ऐप्स के बारे में अधिक जानकारी के लिए निम्नलिखित पृष्ठ देखें:
GWS - Google Platforms Phishing
प्रतिनिधित्व के माध्यम से स्थिरता
आप बस खाते को एक अलग खाते में प्रतिनिधित्व कर सकते हैं जो हमलावर द्वारा नियंत्रित है (यदि आपको ऐसा करने की अनुमति है)। Workspace संगठनों में यह विकल्प सक्षम होना चाहिए। इसे सभी के लिए अक्षम किया जा सकता है, कुछ उपयोगकर्ताओं/समूहों से सक्षम किया जा सकता है या सभी के लिए (आमतौर पर यह केवल कुछ उपयोगकर्ताओं/समूहों के लिए सक्षम होता है या पूरी तरह से अक्षम होता है)।
यदि आप एक Workspace व्यवस्थापक हैं तो इस विकल्प को सक्षम करने के लिए जांचें
(जानकारी दस्तावेज़ों से कॉपी की गई)
आपके संगठन के लिए एक व्यवस्थापक के रूप में (उदाहरण के लिए, आपका कार्य या स्कूल), आप नियंत्रित करते हैं कि उपयोगकर्ता अपने Gmail खाते तक पहुँच को प्रतिनिधित्व कर सकते हैं या नहीं। आप सभी को अपने खाते को प्रतिनिधित्व करने का विकल्प दे सकते हैं। या, केवल कुछ विभागों के लोगों को प्रतिनिधित्व सेट करने की अनुमति दें। उदाहरण के लिए, आप:
- अपने Gmail खाते पर एक प्रशासनिक सहायक को प्रतिनिधि के रूप में जोड़ सकते हैं ताकि वे आपकी ओर से ईमेल पढ़ और भेज सकें।
- एक समूह, जैसे कि आपकी बिक्री विभाग, को समूहों में प्रतिनिधि के रूप में जोड़ सकते हैं ताकि सभी को एक Gmail खाते तक पहुँच मिल सके।
उपयोगकर्ता केवल उसी संगठन में दूसरे उपयोगकर्ता को प्रतिनिधित्व कर सकते हैं, चाहे उनका डोमेन या उनका संगठनात्मक इकाई कुछ भी हो।
प्रतिनिधित्व सीमाएँ और प्रतिबंध
- उपयोगकर्ताओं को अपने मेलबॉक्स तक पहुँच देने के लिए एक Google समूह को अनुमति दें विकल्प: इस विकल्प का उपयोग करने के लिए, इसे प्रतिनिधित्व किए गए खाते के OU और प्रत्येक समूह सदस्य के OU के लिए सक्षम किया जाना चाहिए। ऐसे समूह सदस्य जो बिना इस विकल्प के सक्षम OU में हैं, वे प्रतिनिधित्व किए गए खाते तक पहुँच नहीं सकते।
- सामान्य उपयोग के साथ, 40 प्रतिनिधि एक ही समय में एक Gmail खाते तक पहुँच सकते हैं। एक या अधिक प्रतिनिधियों द्वारा औसत से अधिक उपयोग इस संख्या को कम कर सकता है।
- स्वचालित प्रक्रियाएँ जो अक्सर Gmail तक पहुँचती हैं, वे भी एक ही समय में एक खाते तक पहुँचने वाले प्रतिनिधियों की संख्या को कम कर सकती हैं। इन प्रक्रियाओं में API या ब्राउज़र एक्सटेंशन शामिल हैं जो अक्सर Gmail तक पहुँचते हैं।
- एक ही Gmail खाता 1,000 अद्वितीय प्रतिनिधियों का समर्थन करता है। समूहों में एक समूह एक प्रतिनिधि के रूप में सीमा की ओर गिना जाता है।
- प्रतिनिधित्व Gmail खाते की सीमाओं को नहीं बढ़ाता है। प्रतिनिधि उपयोगकर्ताओं वाले Gmail खातों में मानक Gmail खाता सीमाएँ और नीतियाँ होती हैं। विवरण के लिए, Gmail सीमाएँ और नीतियाँ पर जाएँ।
चरण 1: अपने उपयोगकर्ताओं के लिए Gmail प्रतिनिधित्व चालू करें
शुरू करने से पहले: कुछ उपयोगकर्ताओं के लिए सेटिंग लागू करने के लिए, उनके खातों को एक संगठनात्मक इकाई में डालें।
- साइन इन करें अपने Google व्यवस्थापक कंसोल में।
एक व्यवस्थापक खाते का उपयोग करके साइन इन करें, न कि अपने वर्तमान खाते CarlosPolop@gmail.com
- व्यवस्थापक कंसोल में, मेनू पर जाएँ
ऐप्स
Google Workspace
- यदि आप सेटिंग को सभी पर लागू करना चाहते हैं, तो शीर्ष संगठनात्मक इकाई को चयनित छोड़ दें। अन्यथा, एक बच्चे संगठनात्मक इकाई का चयन करें।
- मेल प्रतिनिधित्व पर क्लिक करें।
- उपयोगकर्ताओं को अपने मेलबॉक्स तक पहुँच देने के लिए अन्य उपयोगकर्ताओं को अनुमति दें बॉक्स को चेक करें।
- (वैकल्पिक) उपयोगकर्ताओं को यह निर्दिष्ट करने की अनुमति देने के लिए कि उनके खाते से भेजे गए प्रतिनिधि संदेशों में कौन सी प्रेषक जानकारी शामिल है, उपयोगकर्ताओं को इस सेटिंग को अनुकूलित करने की अनुमति दें बॉक्स को चेक करें।
- प्रतिनिधियों द्वारा भेजे गए संदेशों में शामिल प्रेषक जानकारी के लिए एक विकल्प चुनें:
- खाते के मालिक और प्रतिनिधि को दिखाएँ जिसने ईमेल भेजा—संदेशों में Gmail खाते के मालिक और प्रतिनिधि के ईमेल पते शामिल होते हैं।
- केवल खाते के मालिक को दिखाएँ—संदेशों में केवल Gmail खाते के मालिक का ईमेल पता शामिल होता है। प्रतिनिधि का ईमेल पता शामिल नहीं होता है।
- (वैकल्पिक) उपयोगकर्ताओं को समूहों में एक समूह को प्रतिनिधि के रूप में जोड़ने की अनुमति देने के लिए, उपयोगकर्ताओं को अपने मेलबॉक्स तक पहुँच देने के लिए एक Google समूह को अनुमति दें बॉक्स को चेक करें।
- सहेजें पर क्लिक करें। यदि आपने एक बच्चे संगठनात्मक इकाई को कॉन्फ़िगर किया है, तो आप एक माता संगठनात्मक इकाई की सेटिंग्स को विरासत में या ओवरराइड कर सकते हैं।
- (वैकल्पिक) अन्य संगठनात्मक इकाइयों के लिए Gmail प्रतिनिधित्व चालू करने के लिए, चरण 3–9 को दोहराएँ।
परिवर्तन में 24 घंटे तक का समय लग सकता है लेकिन आमतौर पर अधिक तेजी से होते हैं। अधिक जानें
चरण 2: उपयोगकर्ताओं को अपने खातों के लिए प्रतिनिधियों को सेट करने दें
जब आप प्रतिनिधित्व चालू करते हैं, तो आपके उपयोगकर्ता अपने Gmail सेटिंग्स में जाकर प्रतिनिधियों को असाइन करते हैं। प्रतिनिधि तब उपयोगकर्ता की ओर से संदेश पढ़, भेज और प्राप्त कर सकते हैं।
विवरण के लिए, उपयोगकर्ताओं को ईमेल पर प्रतिनिधित्व और सहयोग पर निर्देशित करें।
एक नियमित उपयोगकर्ता से, यहाँ अपने एक्सेस को प्रतिनिधित्व करने के लिए निर्देश देखें
(जानकारी दस्तावेज़ों से कॉपी की गई)
आप अधिकतम 10 प्रतिनिधि जोड़ सकते हैं।
यदि आप अपने कार्य, स्कूल या अन्य संगठन के माध्यम से Gmail का उपयोग कर रहे हैं:
- आप अपने संगठन के भीतर अधिकतम 1000 प्रतिनिधि जोड़ सकते हैं।
- सामान्य उपयोग के साथ, 40 प्रतिनिधि एक ही समय में एक Gmail खाते तक पहुँच सकते हैं।
- यदि आप स्वचालित प्रक्रियाओं का उपयोग करते हैं, जैसे API या ब्राउज़र एक्सटेंशन, तो कुछ प्रतिनिधि एक ही समय में एक Gmail खाते तक पहुँच सकते हैं।
- अपने कंप्यूटर पर, Gmail खोलें। आप Gmail ऐप से प्रतिनिधि नहीं जोड़ सकते।
- शीर्ष दाएँ कोने में, सेटिंग्स पर क्लिक करें
सभी सेटिंग्स देखें।
- खाते और आयात या खाते टैब पर क्लिक करें।
- "अपने खाते तक पहुँच देने के लिए" अनुभाग में, एक और खाता जोड़ें पर क्लिक करें। यदि आप अपने कार्य या स्कूल के माध्यम से Gmail का उपयोग कर रहे हैं, तो आपके संगठन द्वारा ईमेल प्रतिनिधित्व को प्रतिबंधित किया जा सकता है। यदि आप इस सेटिंग को नहीं देखते हैं, तो अपने व्यवस्थापक से संपर्क करें।
- यदि आप अपने खाते तक पहुँच देने के लिए विकल्प नहीं देखते हैं, तो यह प्रतिबंधित है।
- उस व्यक्ति का ईमेल पता दर्ज करें जिसे आप जोड़ना चाहते हैं। यदि आप अपने कार्य, स्कूल या अन्य संगठन के माध्यम से Gmail का उपयोग कर रहे हैं, और आपके व्यवस्थापक इसकी अनुमति देते हैं, तो आप एक समूह का ईमेल पता दर्ज कर सकते हैं। इस समूह का डोमेन आपके संगठन के समान होना चाहिए। समूह के बाहरी सदस्यों को प्रतिनिधित्व पहुँच से वंचित किया जाता है।
महत्वपूर्ण: यदि आप जिस खाते को प्रतिनिधित्व कर रहे हैं वह एक नया खाता है या पासवर्ड रीसेट किया गया है, तो व्यवस्थापक को पहले साइन इन करते समय पासवर्ड बदलने की आवश्यकता को बंद करना होगा।
- जानें कि एक व्यवस्थापक उपयोगकर्ता कैसे बना सकता है।
- जानें कि एक व्यवस्थापक पासवर्ड कैसे रीसेट कर सकता है।
- अगला चरण पर क्लिक करें
पहुँच देने के लिए ईमेल भेजें।
आपने जिस व्यक्ति को जोड़ा है, उसे पुष्टि करने के लिए एक ईमेल प्राप्त होगा। निमंत्रण एक सप्ताह के बाद समाप्त हो जाएगा।
यदि आपने एक समूह जोड़ा है, तो सभी समूह के सदस्य बिना पुष्टि किए प्रतिनिधि बन जाएंगे।
नोट: प्रतिनिधित्व प्रभावी होने में 24 घंटे तक का समय लग सकता है।
Android ऐप के माध्यम से स्थिरता
यदि आपके पास पीड़ित के Google खाते के भीतर एक सत्र है, तो आप Play Store पर जा सकते हैं और संभवतः मैलवेयर स्थापित कर सकते हैं जिसे आपने पहले से स्टोर में अपलोड किया है सीधे फोन पर स्थिरता बनाए रखने और पीड़ित के फोन तक पहुँचने के लिए।
ऐप स्क्रिप्ट के माध्यम से स्थिरता
आप ऐप स्क्रिप्ट में समय-आधारित ट्रिगर्स बना सकते हैं, इसलिए यदि ऐप स्क्रिप्ट उपयोगकर्ता द्वारा स्वीकार की जाती है, तो यह ट्रिगर होगी भले ही उपयोगकर्ता इसे एक्सेस न करे। इसे कैसे करना है, इसके बारे में अधिक जानकारी के लिए देखें:
संदर्भ
- https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
- https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch और Beau Bullock - OK Google, How do I Red Team GSuite?
tip
AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)
Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाओं की जांच करें!
- हमारे 💬 Discord समूह या टेलीग्राम समूह में शामिल हों या हमें Twitter 🐦 @hacktricks_live** पर फॉलो करें।**
- हैकिंग ट्रिक्स साझा करें, PRs को HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में सबमिट करके।