HackTricks CloudGWS - Persistence
Reading time: 11 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
caution
Matendo yote yaliyoelezwa katika sehemu hii yanayobadilisha mipangilio yatatoa arifa ya usalama kwa barua pepe na hata arifa ya kusukuma kwa simu yoyote iliyo na usawazishaji na akaunti hiyo.
Persistence katika Gmail
- Unaweza kuunda vichujio kuficha arifa za usalama kutoka Google
from: (no-reply@accounts.google.com) "Security Alert"- Hii itazuia barua pepe za usalama kufika kwenye barua pepe (lakini haitazuia arifa za kusukuma kufika kwenye simu)
Hatua za kuunda kichujio cha gmail
(Maelekezo kutoka hapa)
- Fungua Gmail.
- Katika kisanduku cha kutafuta kilichoko juu, bonyeza Onyesha chaguzi za kutafuta
.
- Ingiza vigezo vyako vya kutafuta. Ikiwa unataka kuangalia kama utafutaji wako umefanya kazi vizuri, angalia ni barua pepe zipi zinaonekana kwa kubonyeza Tafuta.
- Chini ya dirisha la kutafuta, bonyeza Unda kichujio.
- Chagua unachotaka kichujio kifanye.
- Bonyeza Unda kichujio.
Angalia kichujio chako cha sasa (ili kuifuta) katika https://mail.google.com/mail/u/0/#settings/filters
.png)
- Unda anwani ya kupeleka ili kupeleka taarifa nyeti (au kila kitu) - Unahitaji ufikiaji wa mikono.
- Unda anwani ya kupeleka katika https://mail.google.com/mail/u/2/#settings/fwdandpop
- Anwani ya kupokea itahitaji kuthibitisha hii
- Kisha, weka kupeleka barua pepe zote huku ukihifadhi nakala (kumbuka kubonyeza kuhifadhi mabadiliko):
.png)
Pia inawezekana kuunda vichujio na kupeleka barua pepe maalum tu kwa anwani nyingine ya barua pepe.
Nywila za programu
Ikiwa umeweza kudhoofisha kikao cha mtumiaji wa google na mtumiaji alikuwa na 2FA, unaweza kuunda nywila ya programu (fuata kiungo kuona hatua). Kumbuka kwamba Nywila za programu hazipendekezwi tena na Google na zinarejeshwa wakati mtumiaji anabadilisha nywila yake ya Akaunti ya Google.
Hata ikiwa una kikao wazi, utahitaji kujua nywila ya mtumiaji ili kuunda nywila ya programu.
note
Nywila za programu zinaweza kutumika tu na akaunti ambazo zina 2-Step Verification zimewashwa.
Badilisha 2-FA na mambo mengine
Pia inawezekana kuzimisha 2-FA au kujiandikisha kifaa kipya (au nambari ya simu) katika ukurasa huu https://myaccount.google.com/security.
Pia inawezekana kuunda funguo za siri (ongeza kifaa chako mwenyewe), kubadilisha nywila, kuongeza nambari za simu kwa simu za uthibitishaji na urejelezi, kubadilisha barua pepe ya urejelezi na kubadilisha maswali ya usalama).
caution
Ili kuzuia arifa za usalama za kusukuma kufika kwenye simu ya mtumiaji, unaweza kumtoa kwenye simu yake ya smartphone (ingawa hiyo itakuwa ya ajabu) kwa sababu huwezi kumuingiza tena kutoka hapa.
Pia inawezekana kutoa eneo la kifaa.
Hata ikiwa una kikao wazi, utahitaji kujua nywila ya mtumiaji ili kubadilisha mipangilio hii.
Persistence kupitia OAuth Apps
Ikiwa ume kudhoofisha akaunti ya mtumiaji, unaweza tu kubali kutoa ruhusa zote zinazowezekana kwa OAuth App. Tatizo pekee ni kwamba Workspace inaweza kuanzishwa ili kuzuia programu za nje zisizokaguliwa na/au za ndani.
Ni kawaida kwa Mashirika ya Workspace kutokuwa na imani kwa default kwa programu za nje za OAuth lakini kuamini zile za ndani, hivyo ikiwa una ruhusa za kutosha kuunda programu mpya ya OAuth ndani ya shirika na programu za nje zimezuiliwa, zundua na tumia programu hiyo mpya ya ndani ya OAuth ili kudumisha uthabiti.
Angalia ukurasa ufuatao kwa maelezo zaidi kuhusu OAuth Apps:
GWS - Google Platforms Phishing
Persistence kupitia uwakilishi
Unaweza tu kutoa akaunti kwa akaunti tofauti inayodhibitiwa na mshambuliaji (ikiwa umepewa ruhusa kufanya hivyo). Katika Mashirika ya Workspace chaguo hili lazima liwe limewashwa. Inaweza kuzuiliwa kwa kila mtu, kuanzishwa kutoka kwa watumiaji/vikundi fulani au kwa kila mtu (kawaida inakuwa imewashwa tu kwa watumiaji/vikundi fulani au kuzuiliwa kabisa).
Ikiwa wewe ni msimamizi wa Workspace angalia hapa ili kuanzisha kipengele
(Maelezo yaliyokopwa kutoka kwenye hati)
Kama msimamizi wa shirika lako (kwa mfano, kazi yako au shule), unadhibiti ikiwa watumiaji wanaweza kutoa ufikiaji kwa akaunti yao ya Gmail. Unaweza kuruhusu kila mtu kuwa na chaguo la kutoa akaunti zao. Au, ruhusu watu tu katika idara fulani kuanzisha uwakilishi. Kwa mfano, unaweza:
- Ongeza msaidizi wa kiutawala kama mwakilishi kwenye akaunti yako ya Gmail ili waweze kusoma na kutuma barua pepe kwa niaba yako.
- Ongeza kundi, kama idara yako ya mauzo, katika Vikundi kama mwakilishi ili kuwapa kila mtu ufikiaji wa akaunti moja ya Gmail.
Watumiaji wanaweza tu kutoa ufikiaji kwa mtumiaji mwingine katika shirika moja, bila kujali kikoa chao au kitengo chao cha shirika.
Mipaka na vizuizi vya uwakilishi
- Ruhusu watumiaji kutoa ufikiaji wa sanduku lao la barua kwa kundi la Google chaguo: Ili kutumia chaguo hili, lazima iwe imewashwa kwa OU ya akaunti iliyowakilishwa na kwa kila mwanachama wa kundi la OU. Wanachama wa kundi wanaotegemea OU bila chaguo hili kuanzishwa hawawezi kufikia akaunti iliyowakilishwa.
- Kwa matumizi ya kawaida, watumiaji 40 wanaoweza kutoa ufikiaji wanaweza kufikia akaunti ya Gmail kwa wakati mmoja. Matumizi ya juu ya wastani na mwakilishi mmoja au zaidi yanaweza kupunguza nambari hii.
- Mchakato wa kiotomatiki ambao mara kwa mara unapata Gmail pia unaweza kupunguza idadi ya wawakilishi wanaoweza kufikia akaunti kwa wakati mmoja. Mchakato haya ni pamoja na APIs au nyongeza za kivinjari zinazopata Gmail mara kwa mara.
- Akaunti moja ya Gmail inasaidia hadi wawakilishi 1,000 tofauti. Kundi katika Vikundi kinahesabiwa kama mwakilishi mmoja kuelekea kikomo.
- Uwakilishi hauongeza mipaka kwa akaunti ya Gmail. Akaunti za Gmail zenye watumiaji waliowakilishwa zina mipaka na sera za kawaida za akaunti ya Gmail. Kwa maelezo zaidi, tembelea Mipaka na sera za Gmail.
Hatua ya 1: Washa uwakilishi wa Gmail kwa watumiaji wako
Kabla hujaanza: Ili kutumia mipangilio kwa watumiaji fulani, weka akaunti zao katika kitengo cha shirika.
- Ingia kwenye Google Admin console.
Ingia ukitumia akaunti ya msimamizi, si akaunti yako ya sasa CarlosPolop@gmail.com
- Katika console ya Admin, nenda kwenye Menyu
Apps
Google Workspace
- Ili kutumia mipangilio kwa kila mtu, acha kitengo cha juu cha shirika kikiwa kimechaguliwa. Vinginevyo, chagua kitengo cha shirika cha mtoto.
- Bonyeza Uwakilishi wa Barua.
- Angalia kisanduku cha Ruhusu watumiaji kutoa ufikiaji wa sanduku lao la barua kwa watumiaji wengine katika kikoa.
- (Hiari) Ili kuruhusu watumiaji kubaini ni taarifa zipi za mtumaji zinazoingizwa katika ujumbe wa uwakilishi unaotumwa kutoka kwa akaunti yao, angalia kisanduku cha Ruhusu watumiaji kubadilisha mipangilio hii.
- Chagua chaguo kwa taarifa za mtumaji wa kawaida zinazojumuishwa katika ujumbe unaotumwa na wawakilishi:
- Onyesha mmiliki wa akaunti na mwakilishi aliyemtuma barua pepe—Ujumbe unajumuisha anwani za barua pepe za mmiliki wa akaunti ya Gmail na mwakilishi.
- Onyesha mmiliki wa akaunti pekee—Ujumbe unajumuisha anwani ya barua pepe ya mmiliki wa akaunti ya Gmail pekee. Anwani ya barua pepe ya mwakilishi haijajumuishwa.
- (Hiari) Ili kuruhusu watumiaji kuongeza kundi katika Vikundi kama mwakilishi, angalia kisanduku cha Ruhusu watumiaji kutoa ufikiaji wa sanduku lao la barua kwa kundi la Google.
- Bonyeza Hifadhi. Ikiwa umeanzisha kitengo cha shirika cha mtoto, unaweza kuwa na uwezo wa Kurithi au Kukataa mipangilio ya kitengo cha shirika cha mzazi.
- (Hiari) Ili kuwasha uwakilishi wa Gmail kwa vitengo vingine vya shirika, rudia hatua 3–9.
Mabadiliko yanaweza kuchukua hadi masaa 24 lakini kawaida hutokea haraka zaidi. Jifunze zaidi
Hatua ya 2: Wape watumiaji kuweka wawakilishi kwa akaunti zao
Baada ya kuwasha uwakilishi, watumiaji wako wanaenda kwenye mipangilio yao ya Gmail ili kuwateua wawakilishi. Wawakilishi wanaweza kisha kusoma, kutuma, na kupokea ujumbe kwa niaba ya mtumiaji.
Kwa maelezo zaidi, waelekeze watumiaji kwenye Wakilishi na ushirikiano kwenye barua pepe.
Kutoka kwa mtumiaji wa kawaida, angalia hapa maelekezo ya kujaribu kutoa ufikiaji wako
(Maelezo yaliyokopwa kutoka kwenye hati)
Unaweza kuongeza hadi wawakilishi 10.
Ikiwa unatumia Gmail kupitia kazi yako, shule, au shirika lingine:
- Unaweza kuongeza hadi wawakilishi 1000 ndani ya shirika lako.
- Kwa matumizi ya kawaida, wawakilishi 40 wanaweza kufikia akaunti ya Gmail kwa wakati mmoja.
- Ikiwa unatumia michakato ya kiotomatiki, kama APIs au nyongeza za kivinjari, wawakilishi wachache wanaweza kufikia akaunti ya Gmail kwa wakati mmoja.
- Katika kompyuta yako, fungua Gmail. Huwezi kuongeza wawakilishi kutoka kwenye programu ya Gmail.
- Katika kona ya juu kulia, bonyeza Mipangilio
Tazama mipangilio yote.
- Bonyeza tabo ya Akaunti na Uagizaji au Akaunti.
- Katika sehemu ya "Ruhusu ufikiaji kwa akaunti yako", bonyeza Ongeza akaunti nyingine. Ikiwa unatumia Gmail kupitia kazi yako au shule, shirika lako linaweza kuzuia uwakilishi wa barua pepe. Ikiwa huoni mipangilio hii, wasiliana na msimamizi wako.
- Ikiwa huoni Ruhusu ufikiaji kwa akaunti yako, basi imezuiliwa.
- Ingiza anwani ya barua pepe ya mtu unayetaka kuongeza. Ikiwa unatumia Gmail kupitia kazi yako, shule, au shirika lingine, na msimamizi wako anaruhusu, unaweza kuingiza anwani ya barua pepe ya kundi. Kundi hili lazima liwe na kikoa sawa na shirika lako. Wanachama wa nje wa kundi wanakabiliwa na ufikiaji wa uwakilishi.
Muhimu: Ikiwa akaunti unayowakilisha ni akaunti mpya au nywila ilibadilishwa, Msimamizi lazima azimishe hitaji la kubadilisha nywila unapojisajili mara ya kwanza.
- Jifunze jinsi Msimamizi anavyoweza kuunda mtumiaji.
- Jifunze jinsi Msimamizi anavyoweza kubadilisha nywila.
- Bonyeza Hatua inayofuata
Tuma barua pepe ili kutoa ufikiaji.
Mtu uliyemongeza atapata barua pepe ikimuuliza kuthibitisha. Mwaliko unakoma baada ya wiki moja.
Ikiwa umeongeza kundi, wanachama wote wa kundi watakuwa wawakilishi bila haja ya kuthibitisha.
Kumbuka: Inaweza kuchukua hadi masaa 24 kwa uwakilishi kuanza kutekelezwa.
Persistence kupitia Programu za Android
Ikiwa una kikao ndani ya akaunti ya google ya waathiriwa unaweza kuvinjari kwenye Play Store na unaweza kuwa na uwezo wa kufunga programu hasidi uliyopakia tayari kwenye duka moja kwa moja kwenye simu ili kudumisha uthabiti na kupata simu ya waathiriwa.
Persistence kupitia Scripts za Programu
Unaweza kuunda vichocheo vya muda katika Scripts za Programu, hivyo ikiwa Script ya Programu itakubaliwa na mtumiaji, itakuwa imechochewa hata bila mtumiaji kuipata. Kwa maelezo zaidi kuhusu jinsi ya kufanya hivi angalia:
Marejeleo
- https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
- https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch na Beau Bullock - OK Google, Je! Ninaweza vipi Red Team GSuite?
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.