GWS - Persistencija

Reading time: 10 minutes

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

caution

Sve radnje navedene u ovom odeljku koje menjaju podešavanja generisaće bezbednosno upozorenje na email i čak push obaveštenje na bilo koji mobilni uređaj sinhronizovan sa nalogom.

Persistencija u Gmail-u

  • Možete kreirati filtre za sakrivanje bezbednosnih obaveštenja od Google-a
  • from: (no-reply@accounts.google.com) "Security Alert"
  • Ovo će sprečiti bezbednosne emailove da stignu na email (ali neće sprečiti push obaveštenja na mobilni)
Koraci za kreiranje gmail filtera

(Uputstva iz ovde)

  1. Otvorite Gmail.
  2. U pretraživaču na vrhu, kliknite na Prikaži opcije pretrage photos tune.
  3. Unesite svoje kriterijume pretrage. Ako želite da proverite da li je vaša pretraga ispravno funkcionisala, pogledajte koji se emailovi pojavljuju klikom na Pretraži.
  4. Na dnu prozora pretrage, kliknite na Kreiraj filter.
  5. Izaberite šta želite da filter radi.
  6. Kliknite na Kreiraj filter.

Proverite svoj trenutni filter (da ih obrišete) na https://mail.google.com/mail/u/0/#settings/filters

  • Kreirajte adresu za prosleđivanje za prosleđivanje osetljivih informacija (ili svega) - Potrebno je ručno pristupiti.
  • Kreirajte adresu za prosleđivanje na https://mail.google.com/mail/u/2/#settings/fwdandpop
  • Primalac će morati da potvrdi ovo
  • Zatim, postavite da prosledite sve emailove dok čuvate kopiju (zapamtite da kliknete na sačuvaj promene):

Takođe je moguće kreirati filtre i proslediti samo određene emailove na drugu email adresu.

App lozinke

Ako ste uspeli da kompromitujete sesiju google korisnika i korisnik je imao 2FA, možete generisati app lozinku (pratite link da vidite korake). Imajte na umu da Google više ne preporučuje app lozinke i one se opozivaju kada korisnik promeni lozinku svog Google naloga.

Čak i ako imate otvorenu sesiju, moraćete da znate lozinku korisnika da biste kreirali app lozinku.

note

App lozinke mogu da se koriste samo sa nalozima koji imaju uključenu 2-Step Verification.

Promena 2-FA i slično

Takođe je moguće isključiti 2-FA ili registrovati novi uređaj (ili broj telefona) na ovoj stranici https://myaccount.google.com/security.
Takođe je moguće generisati ključeve (dodati svoj uređaj), promeniti lozinku, dodati mobilne brojeve za verifikacione telefone i oporavak, promeniti email za oporavak i promeniti bezbednosna pitanja).

caution

Da biste sprečili bezbednosne push obaveštenja da stignu na telefon korisnika, mogli biste izlogovati njegov pametan telefon (iako bi to bilo čudno) jer ne možete ponovo da ga prijavite odavde.

Takođe je moguće locirati uređaj.

Čak i ako imate otvorenu sesiju, moraćete da znate lozinku korisnika da biste promenili ova podešavanja.

Persistencija putem OAuth aplikacija

Ako ste kompromitovali nalog korisnika, možete jednostavno prihvatiti da dodelite sve moguće dozvole OAuth aplikaciji. Jedini problem je što Workspace može biti podešen da onemogući neproverene spoljne i/ili interne OAuth aplikacije.
Prilično je uobičajeno da Workspace organizacije po defaultu ne veruju spoljnim OAuth aplikacijama, ali veruju internim, tako da ako imate dovoljno dozvola da generišete novu OAuth aplikaciju unutar organizacije i spoljne aplikacije su onemogućene, generišite je i koristite tu novu internu OAuth aplikaciju da održite persistenciju.

Proverite sledeću stranicu za više informacija o OAuth aplikacijama:

GWS - Google Platforms Phishing

Persistencija putem delegacije

Možete jednostavno delegirati nalog na drugi nalog koji kontroliše napadač (ako vam je to dozvoljeno). U Workspace organizacijama ova opcija mora biti omogućena. Može biti onemogućena za sve, omogućena za neke korisnike/grupe ili za sve (obično je omogućena samo za neke korisnike/grupe ili potpuno onemogućena).

Ako ste Workspace administrator, proverite ovo da omogućite funkciju

(Informacije kopirane iz dokumenata)

Kao administrator vaše organizacije (na primer, vašeg posla ili škole), kontrolišete da li korisnici mogu delegirati pristup svom Gmail nalogu. Možete dozvoliti svima da imaju opciju da delegiraju svoj nalog. Ili, samo dozvoliti ljudima u određenim odeljenjima da postave delegaciju. Na primer, možete:

  • Dodati administrativnog asistenta kao delegata na vašem Gmail nalogu kako bi mogli da čitaju i šalju email u vaše ime.
  • Dodati grupu, kao što je vaše prodajno odeljenje, u Grupe kao delegata da svima omogući pristup jednom Gmail nalogu.

Korisnici mogu delegirati pristup samo drugom korisniku u istoj organizaciji, bez obzira na njihovu domenu ili organizacionu jedinicu.

Ograničenja i restrikcije delegacije

  • Dozvolite korisnicima da dodele pristup svojoj pošti Google grupi opcija: Da biste koristili ovu opciju, mora biti omogućena za OU delegiranog naloga i za OU svakog člana grupe. Članovi grupe koji pripadaju OU bez ove opcije omogućene ne mogu pristupiti delegiranom nalogu.
  • Sa tipičnom upotrebom, 40 delegiranih korisnika može pristupiti Gmail nalogu u isto vreme. Iznadprosečna upotreba od strane jednog ili više delegata može smanjiti ovaj broj.
  • Automatizovani procesi koji često pristupaju Gmail-u takođe mogu smanjiti broj delegata koji mogu pristupiti nalogu u isto vreme. Ovi procesi uključuju API-je ili ekstenzije pretraživača koje često pristupaju Gmail-u.
  • Jedan Gmail nalog podržava do 1,000 jedinstvenih delegata. Grupa u Grupama se računa kao jedan delegat prema limitu.
  • Delegacija ne povećava limite za Gmail nalog. Gmail nalozi sa delegiranim korisnicima imaju standardne limite i politike Gmail naloga. Za detalje, posetite Gmail limite i politike.

Korak 1: Uključite Gmail delegaciju za svoje korisnike

Pre nego što počnete: Da biste primenili podešavanje za određene korisnike, stavite njihove naloge u organizacionu jedinicu.

  1. Prijavite se na vašu Google Admin konzolu.

Prijavite se koristeći administratorski nalog, a ne vaš trenutni nalog CarlosPolop@gmail.com

  1. U Admin konzoli, idite na Meni i zatim Aplikacijei zatimGoogle Workspacei zatimGmaili zatimPodešavanja korisnika.
  2. Da biste primenili podešavanje za sve, ostavite izabranu gornju organizacionu jedinicu. Inače, izaberite pod organizacionu jedinicu.
  3. Kliknite na Delegacija pošte.
  4. Proverite kutiju Dozvoli korisnicima da delegiraju pristup svojoj pošti drugim korisnicima u domenu.
  5. (Opcionalno) Da biste dozvolili korisnicima da odrede koje informacije o pošiljaocu su uključene u delegirane poruke poslate sa njihovog naloga, proverite kutiju Dozvoli korisnicima da prilagode ovo podešavanje.
  6. Izaberite opciju za podrazumevane informacije o pošiljaocu koje su uključene u poruke koje šalju delegati:
  • Prikaži vlasnika naloga i delegata koji je poslao email—Poruke uključuju email adrese vlasnika Gmail naloga i delegata.
  • Prikaži samo vlasnika naloga—Poruke uključuju email adresu samo vlasnika Gmail naloga. Email adresa delegata nije uključena.
  1. (Opcionalno) Da biste dozvolili korisnicima da dodaju grupu u Grupama kao delegata, proverite kutiju Dozvoli korisnicima da dodele pristup svojoj pošti Google grupi.
  2. Kliknite na Sačuvaj. Ako ste konfigurisali pod organizacionu jedinicu, možda ćete moći da nasledite ili prepravite podešavanja roditeljske organizacione jedinice.
  3. (Opcionalno) Da biste uključili Gmail delegaciju za druge organizacione jedinice, ponovite korake 3–9.

Promene mogu potrajati do 24 sata, ali obično se dešavaju brže. Saznajte više

Korak 2: Neka korisnici postave delegate za svoje naloge

Nakon što uključite delegaciju, vaši korisnici idu na svoja Gmail podešavanja da dodele delegate. Delegati tada mogu čitati, slati i primati poruke u ime korisnika.

Za detalje, uputite korisnike na Delegiranje i saradnja na emailu.

Od običnog korisnika, proverite ovde uputstva da pokušate da delegirate svoj pristup

(Info kopirana iz dokumenata)

Možete dodati do 10 delegata.

Ako koristite Gmail preko svog posla, škole ili druge organizacije:

  • Možete dodati do 1000 delegata unutar vaše organizacije.
  • Sa tipičnom upotrebom, 40 delegata može pristupiti Gmail nalogu u isto vreme.
  • Ako koristite automatizovane procese, kao što su API-ji ili ekstenzije pretraživača, nekoliko delegata može pristupiti Gmail nalogu u isto vreme.
  1. Na svom računaru, otvorite Gmail. Ne možete dodati delegate iz Gmail aplikacije.
  2. U gornjem desnom uglu, kliknite na Podešavanja Settings i zatim Pogledajte sve postavke.
  3. Kliknite na Nalozi i uvoz ili Nalozi tab.
  4. U sekciji "Dodeli pristup svom nalogu", kliknite na Dodaj drugi nalog. Ako koristite Gmail preko svog posla ili škole, vaša organizacija može ograničiti delegaciju emaila. Ako ne vidite ovo podešavanje, kontaktirajte svog administratora.
  • Ako ne vidite Dodeli pristup svom nalogu, onda je to ograničeno.
  1. Unesite email adresu osobe koju želite da dodate. Ako koristite Gmail preko svog posla, škole ili druge organizacije, i vaš administrator to dozvoljava, možete uneti email adresu grupe. Ova grupa mora imati istu domenu kao vaša organizacija. Spoljni članovi grupe su odbijeni pristup delegaciji.

    Važno: Ako je nalog koji delegirate novi nalog ili je lozinka resetovana, administrator mora isključiti zahtev za promenu lozinke kada se prvi put prijavite.
  1. Kliknite na Sledeći korak i zatim Pošaljite email da dodelite pristup.

Osoba koju ste dodali će dobiti email u kojem se traži da potvrdi. Poziv važi nedelju dana.

Ako ste dodali grupu, svi članovi grupe će postati delegati bez potrebe za potvrdom.

Napomena: Može potrajati do 24 sata da delegacija počne da deluje.

Persistencija putem Android aplikacije

Ako imate sesiju unutar google naloga žrtve, možete pretraživati Play Store i možda ćete moći da instalirate malver koji ste već otpremili u prodavnicu direktno na telefon da biste održali persistenciju i pristupili telefonu žrtve.

Persistencija putem App skripti

Možete kreirati okidače zasnovane na vremenu u App skriptama, tako da ako je App skripta prihvaćena od strane korisnika, biće okidana čak i bez pristupa korisnika. Za više informacija o tome kako to učiniti, proverite:

GWS - App Scripts

Reference

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks