GWS - Utrzymywanie

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Caution

Wszystkie działania wymienione w tej sekcji, które zmieniają ustawienia, wygenerują powiadomienie o bezpieczeństwie na e-mail oraz powiadomienie push na każdym urządzeniu mobilnym zsynchronizowanym z kontem.

Utrzymywanie w Gmailu

  • Możesz stworzyć filtry, aby ukryć powiadomienia o bezpieczeństwie od Google
  • from: (no-reply@accounts.google.com) "Security Alert"
  • To zapobiegnie dotarciu e-maili o bezpieczeństwie do skrzynki (ale nie zapobiegnie powiadomieniom push na telefonie)
Kroki do stworzenia filtru w gmailu

(Instrukcje tutaj)

  1. Otwórz Gmail.
  2. W polu wyszukiwania na górze kliknij Pokaż opcje wyszukiwania photos tune.
  3. Wprowadź kryteria wyszukiwania. Jeśli chcesz sprawdzić, czy twoje wyszukiwanie działa poprawnie, zobacz, jakie e-maile się pojawią, klikając Szukaj.
  4. Na dole okna wyszukiwania kliknij Utwórz filtr.
  5. Wybierz, co chciałbyś, aby filtr robił.
  6. Kliknij Utwórz filtr.

Sprawdź swój aktualny filtr (aby je usunąć) w https://mail.google.com/mail/u/0/#settings/filters

  • Stwórz adres przekazywania, aby przekazywać wrażliwe informacje (lub wszystko) - potrzebujesz dostępu manualnego.
  • Stwórz adres przekazywania w https://mail.google.com/mail/u/2/#settings/fwdandpop
  • Odbierający adres będzie musiał to potwierdzić
  • Następnie ustaw, aby przekazywać wszystkie e-maile, zachowując kopię (pamiętaj, aby kliknąć zapisz zmiany):

Możliwe jest również stworzenie filtrów i przekazywanie tylko konkretnych e-maili na inny adres e-mail.

Hasła aplikacji

Jeśli udało ci się przejąć sesję użytkownika Google i użytkownik miał 2FA, możesz wygenerować hasło aplikacji (śledź link, aby zobaczyć kroki). Zauważ, że Hasła aplikacji nie są już zalecane przez Google i są unieważniane, gdy użytkownik zmienia hasło do swojego konta Google.

Nawet jeśli masz otwartą sesję, będziesz musiał znać hasło użytkownika, aby stworzyć hasło aplikacji.

Note

Hasła aplikacji mogą być używane tylko z kontami, które mają włączoną Weryfikację dwuetapową.

Zmiana 2-FA i podobne

Możliwe jest również wyłączenie 2-FA lub zarejestrowanie nowego urządzenia (lub numeru telefonu) na tej stronie https://myaccount.google.com/security.
Możliwe jest również wygenerowanie kluczy dostępu (dodanie własnego urządzenia), zmiana hasła, dodanie numerów telefonów do weryfikacji i odzyskiwania, zmiana e-maila do odzyskiwania oraz zmiana pytań zabezpieczających).

Caution

Aby zapobiec powiadomieniom push o bezpieczeństwie docierającym do telefonu użytkownika, możesz wylogować jego smartfona (chociaż byłoby to dziwne), ponieważ nie możesz go ponownie zalogować stąd.

Możliwe jest również zlokalizowanie urządzenia.

Nawet jeśli masz otwartą sesję, będziesz musiał znać hasło użytkownika, aby zmienić te ustawienia.

Utrzymywanie przez aplikacje OAuth

Jeśli przejąłeś konto użytkownika, możesz po prostu zaakceptować przyznanie wszystkich możliwych uprawnień aplikacji OAuth. Jedynym problemem jest to, że Workspace może być skonfigurowany tak, aby zabraniać nieprzeglądanych aplikacji OAuth zewnętrznych i/lub wewnętrznych.
Jest dość powszechne, że organizacje Workspace domyślnie nie ufają zewnętrznym aplikacjom OAuth, ale ufają wewnętrznym, więc jeśli masz wystarczające uprawnienia do wygenerowania nowej aplikacji OAuth w organizacji, a aplikacje zewnętrzne są zabronione, wygeneruj ją i użyj tej nowej wewnętrznej aplikacji OAuth, aby utrzymać trwałość.

Sprawdź następującą stronę, aby uzyskać więcej informacji na temat aplikacji OAuth:

GWS - Google Platforms Phishing

Utrzymywanie przez delegację

Możesz po prostu delegować konto do innego konta kontrolowanego przez atakującego (jeśli masz na to pozwolenie). W organizacjach Workspace ta opcja musi być włączona. Może być wyłączona dla wszystkich, włączona dla niektórych użytkowników/grup lub dla wszystkich (zwykle jest włączona tylko dla niektórych użytkowników/grup lub całkowicie wyłączona).

Jeśli jesteś administratorem Workspace, sprawdź to, aby włączyć funkcję

(Informacje skopiowane z dokumentacji)

Jako administrator swojej organizacji (na przykład w pracy lub szkole) kontrolujesz, czy użytkownicy mogą delegować dostęp do swojego konta Gmail. Możesz pozwolić wszystkim na opcję delegowania swojego konta. Lub tylko pozwolić osobom w niektórych działach na skonfigurowanie delegacji. Na przykład możesz:

  • Dodać asystenta administracyjnego jako delegata na swoim koncie Gmail, aby mógł czytać i wysyłać e-maile w twoim imieniu.
  • Dodać grupę, taką jak twój dział sprzedaży, w Grupach jako delegata, aby dać wszystkim dostęp do jednego konta Gmail.

Użytkownicy mogą delegować dostęp tylko do innego użytkownika w tej samej organizacji, niezależnie od ich domeny lub jednostki organizacyjnej.

Limity i ograniczenia delegacji

  • Zezwól użytkownikom na przyznanie dostępu do swojej skrzynki pocztowej grupie Google: Aby użyć tej opcji, musi być włączona dla OU delegowanego konta i dla każdego członka grupy OU. Członkowie grupy, którzy należą do OU, w której ta opcja nie jest włączona, nie mogą uzyskać dostępu do delegowanego konta.
  • Przy typowym użyciu 40 delegowanych użytkowników może uzyskać dostęp do konta Gmail w tym samym czasie. Powyższe średnie użycie przez jednego lub więcej delegatów może zmniejszyć tę liczbę.
  • Zautomatyzowane procesy, które często uzyskują dostęp do Gmaila, mogą również zmniejszyć liczbę delegatów, którzy mogą uzyskać dostęp do konta w tym samym czasie. Procesy te obejmują API lub rozszerzenia przeglądarki, które często uzyskują dostęp do Gmaila.
  • Jedno konto Gmail obsługuje do 1,000 unikalnych delegatów. Grupa w Grupach liczy się jako jeden delegat w kierunku limitu.
  • Delegacja nie zwiększa limitów dla konta Gmail. Konta Gmail z delegowanymi użytkownikami mają standardowe limity i zasady konta Gmail. Aby uzyskać szczegóły, odwiedź Limity i zasady Gmaila.

Krok 1: Włącz delegację Gmaila dla swoich użytkowników

Zanim zaczniesz: Aby zastosować ustawienie dla niektórych użytkowników, umieść ich konta w jednostce organizacyjnej.

  1. Zaloguj się do swojego konsoli administracyjnej Google.

Zaloguj się używając konta administratora, a nie swojego aktualnego konta CarlosPolop@gmail.com

  1. W konsoli administracyjnej przejdź do Menu a następnie Aplikacjea następnieGoogle Workspacea następnieGmaila następnieUstawienia użytkownika.
  2. Aby zastosować ustawienie dla wszystkich, pozostaw wybraną jednostkę organizacyjną na górze. W przeciwnym razie wybierz podrzędną jednostkę organizacyjną.
  3. Kliknij Delegacja poczty.
  4. Zaznacz pole Zezwól użytkownikom na delegowanie dostępu do swojej skrzynki pocztowej innym użytkownikom w domenie.
  5. (Opcjonalnie) Aby pozwolić użytkownikom określić, jakie informacje o nadawcy są zawarte w delegowanych wiadomościach wysyłanych z ich konta, zaznacz pole Zezwól użytkownikom na dostosowanie tego ustawienia.
  6. Wybierz opcję dla domyślnych informacji o nadawcy, które są zawarte w wiadomościach wysyłanych przez delegatów:
  • Pokaż właściciela konta i delegata, który wysłał e-mail—Wiadomości zawierają adresy e-mail właściciela konta Gmail i delegata.
  • Pokaż tylko właściciela konta—Wiadomości zawierają adres e-mail tylko właściciela konta Gmail. Adres e-mail delegata nie jest zawarty.
  1. (Opcjonalnie) Aby pozwolić użytkownikom dodać grupę w Grupach jako delegata, zaznacz pole Zezwól użytkownikom na przyznanie dostępu do swojej skrzynki pocztowej grupie Google.
  2. Kliknij Zapisz. Jeśli skonfigurowałeś podrzędną jednostkę organizacyjną, możesz być w stanie Dziedziczyć lub Nadpisać ustawienia jednostki organizacyjnej nadrzędnej.
  3. (Opcjonalnie) Aby włączyć delegację Gmaila dla innych jednostek organizacyjnych, powtórz kroki 3–9.

Zmiany mogą zająć do 24 godzin, ale zazwyczaj zachodzą szybciej. Dowiedz się więcej

Krok 2: Niech użytkownicy skonfigurują delegatów dla swoich kont

Po włączeniu delegacji użytkownicy przechodzą do ustawień Gmaila, aby przypisać delegatów. Delegaci mogą następnie czytać, wysyłać i odbierać wiadomości w imieniu użytkownika.

Aby uzyskać szczegóły, skieruj użytkowników do Delegowanie i współpraca w e-mailu.

Jako zwykły użytkownik, sprawdź tutaj instrukcje, aby spróbować delegować swój dostęp

(Informacje skopiowane z dokumentacji)

Możesz dodać do 10 delegatów.

Jeśli korzystasz z Gmaila przez swoją pracę, szkołę lub inną organizację:

  • Możesz dodać do 1000 delegatów w swojej organizacji.
  • Przy typowym użyciu 40 delegatów może uzyskać dostęp do konta Gmail w tym samym czasie.
  • Jeśli używasz zautomatyzowanych procesów, takich jak API lub rozszerzenia przeglądarki, kilku delegatów może uzyskać dostęp do konta Gmail w tym samym czasie.
  1. Na swoim komputerze otwórz Gmail. Nie możesz dodać delegatów z aplikacji Gmail.
  2. W prawym górnym rogu kliknij Ustawienia Ustawienia a następnie Zobacz wszystkie ustawienia.
  3. Kliknij zakładkę Konta i import lub Konta.
  4. W sekcji “Przyznaj dostęp do swojego konta” kliknij Dodaj inne konto. Jeśli korzystasz z Gmaila przez swoją pracę lub szkołę, twoja organizacja może ograniczyć delegację e-maili. Jeśli nie widzisz tego ustawienia, skontaktuj się z administratorem.
  • Jeśli nie widzisz Przyznaj dostęp do swojego konta, to jest to ograniczone.
  1. Wprowadź adres e-mail osoby, którą chcesz dodać. Jeśli korzystasz z Gmaila przez swoją pracę, szkołę lub inną organizację, a twój administrator na to pozwala, możesz wprowadzić adres e-mail grupy. Ta grupa musi mieć tę samą domenę co twoja organizacja. Zewnętrzni członkowie grupy są odrzucani w dostępie delegacyjnym.

    Ważne: Jeśli konto, które delegujesz, jest nowym kontem lub hasło zostało zresetowane, administrator musi wyłączyć wymóg zmiany hasła przy pierwszym logowaniu.
  1. Kliknij Następny krok a następnie Wyślij e-mail, aby przyznać dostęp.

Osoba, którą dodałeś, otrzyma e-mail z prośbą o potwierdzenie. Zaproszenie wygasa po tygodniu.

Jeśli dodałeś grupę, wszyscy członkowie grupy staną się delegatami bez konieczności potwierdzania.

Uwaga: Może zająć do 24 godzin, aby delegacja zaczęła obowiązywać.

Utrzymywanie przez aplikację Android

Jeśli masz sesję w koncie Google ofiary, możesz przeglądać Sklep Play i być może będziesz w stanie zainstalować złośliwe oprogramowanie, które już przesłałeś do sklepu bezpośrednio na telefonie, aby utrzymać trwałość i uzyskać dostęp do telefonu ofiary.

Utrzymywanie przez Skrypty Aplikacji

Możesz stworzyć wyzwalacze oparte na czasie w Skryptach Aplikacji, więc jeśli Skrypt Aplikacji zostanie zaakceptowany przez użytkownika, zostanie wyzwolony nawet bez dostępu użytkownika. Aby uzyskać więcej informacji na ten temat, sprawdź:

GWS - App Scripts

Odniesienia

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks