GWS - Süreklilik

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Caution

Bu bölümde belirtilen ayarları değiştiren tüm eylemler, hesapla senkronize olan herhangi bir mobil cihaza e-posta ve hatta bir push bildirimi gönderecektir.

Gmail’de Süreklilik

  • Google’dan gelen güvenlik bildirimlerini gizlemek için filtreler oluşturabilirsiniz
  • from: (no-reply@accounts.google.com) "Security Alert"
  • Bu, güvenlik e-postalarının e-postaya ulaşmasını engelleyecektir (ancak mobil cihazlara push bildirimlerini engellemeyecektir)
Gmail filtresi oluşturma adımları

(İlkeler buradan)

  1. Gmail açın.
  2. Üstteki arama kutusunda, Arama seçeneklerini göster’e tıklayın photos tune.
  3. Arama kriterlerinizi girin. Aramanızın doğru çalıştığını kontrol etmek istiyorsanız, Ara’ya tıklayarak hangi e-postaların göründüğüne bakın.
  4. Arama penceresinin altında, Filtre oluştur’a tıklayın.
  5. Filtrenin ne yapmasını istediğinizi seçin.
  6. Filtre oluştur’a tıklayın.

Mevcut filtrenizi kontrol edin (silmek için) https://mail.google.com/mail/u/0/#settings/filters

  • Hassas bilgileri (veya her şeyi) iletmek için bir iletim adresi oluşturun - Manuel erişim gereklidir.
  • https://mail.google.com/mail/u/2/#settings/fwdandpop adresinde bir iletim adresi oluşturun.
  • Alıcı adresin bunu onaylaması gerekecek.
  • Ardından, tüm e-postaları iletmek için ayarlayın ve bir kopyasını saklayın (değişiklikleri kaydetmek için tıklamayı unutmayın):

Ayrıca belirli e-postaları diğer e-posta adresine iletmek için filtreler oluşturmak da mümkündür.

Uygulama şifreleri

Eğer bir google kullanıcı oturumunu ele geçirdiyseniz ve kullanıcı 2FA kullanıyorsa, bir uygulama şifresi üretebilirsiniz (adımları görmek için bağlantıya tıklayın). **Uygulama şifreleri artık Google tarafından önerilmemektedir ve kullanıcı Google Hesap şifresini değiştirdiğinde iptal edilir.

Açık bir oturumunuz olsa bile, bir uygulama şifresi oluşturmak için kullanıcının şifresini bilmeniz gerekecektir.

Note

Uygulama şifreleri yalnızca 2 Adımlı Doğrulama açık olan hesaplarla kullanılabilir.

2-FA’yı Değiştirme ve Benzerleri

Bu sayfada 2-FA’yı kapatmak veya yeni bir cihazı (veya telefon numarasını) kaydetmek de mümkündür https://myaccount.google.com/security.
Ayrıca, anahtarlar oluşturmak (kendi cihazınızı eklemek), şifreyi değiştirmek, doğrulama telefonları için mobil numaralar eklemek ve kurtarma e-postasını değiştirmek mümkündür.

Caution

Kullanıcının telefonuna güvenlik push bildirimlerinin ulaşmasını önlemek için, akıllı telefonunu oturumdan çıkartabilirsiniz (bu garip olsa da) çünkü buradan tekrar oturum açamazsınız.

Ayrıca cihazı bulmak da mümkündür.

Açık bir oturumunuz olsa bile, bu ayarları değiştirmek için kullanıcının şifresini bilmeniz gerekecektir.

OAuth Uygulamaları ile Süreklilik

Eğer bir kullanıcının hesabını ele geçirdiyseniz, tüm olası izinleri bir OAuth Uygulamasına vermeyi kabul edebilirsiniz. Tek sorun, Workspace’in gözden geçirilmemiş dış ve/veya iç OAuth uygulamalarını engelleyecek şekilde yapılandırılabilmesidir.
Workspace Organizasyonlarının varsayılan olarak dış OAuth uygulamalarına güvenmemesi, ancak iç olanlara güvenmesi oldukça yaygındır, bu nedenle eğer organizasyon içinde yeni bir OAuth uygulaması oluşturmak için yeterli izinleriniz varsa ve dış uygulamalar engellenmişse, bunu oluşturun ve sürekliliği sağlamak için bu yeni iç OAuth uygulamasını kullanın.

OAuth Uygulamaları hakkında daha fazla bilgi için aşağıdaki sayfayı kontrol edin:

GWS - Google Platforms Phishing

Delegasyon ile Süreklilik

Hesabı, saldırgan tarafından kontrol edilen farklı bir hesaba devredebilirsiniz (bunu yapmanıza izin veriliyorsa). Workspace Organizasyonlarında bu seçenek etkinleştirilmelidir. Herkes için devre dışı bırakılabilir, bazı kullanıcılar/gruplar için etkinleştirilebilir veya herkes için (genellikle sadece bazı kullanıcılar/gruplar için etkinleştirilir veya tamamen devre dışı bırakılır).

Bir Workspace yöneticisiyseniz, bu özelliği etkinleştirmek için kontrol edin

(Bilgi belgelerden kopyalanmıştır)

Organizasyonunuzun yöneticisi olarak (örneğin, iş veya okul için), kullanıcıların Gmail hesaplarına erişim devretme yetkisini kontrol edersiniz. Herkese hesaplarını devretme seçeneği verebilirsiniz. Ya da yalnızca belirli departmanlardaki kişilerin devretmesine izin verebilirsiniz. Örneğin, şunları yapabilirsiniz:

  • Gmail hesabınıza bir idari asistanı delege olarak ekleyerek, onların sizin adınıza e-posta okumasını ve göndermesini sağlayabilirsiniz.
  • Satış departmanınız gibi bir grubu, bir Gmail hesabına erişim vermek için Gruplar’a delege olarak ekleyebilirsiniz.

Kullanıcılar yalnızca aynı organizasyondaki diğer bir kullanıcıya erişim devredebilir, alan adları veya organizasyon birimleri fark etmeksizin.

Delegasyon sınırları ve kısıtlamaları

  • Kullanıcıların Gmail hesaplarına bir Google grubuna erişim vermesine izin ver seçeneği: Bu seçeneği kullanmak için, devredilen hesabın OU’si ve her grup üyesinin OU’si için etkinleştirilmiş olmalıdır. Bu seçeneğin etkinleştirilmediği bir OU’ya ait grup üyeleri, devredilen hesaba erişemez.
  • Tipik kullanımda, 40 delege aynı anda bir Gmail hesabına erişebilir. Bir veya daha fazla delegenin ortalamanın üzerinde kullanımı bu sayıyı azaltabilir.
  • Gmail’e sık erişen otomatik süreçler, aynı anda bir hesaba erişebilen delege sayısını da azaltabilir. Bu süreçler, Gmail’e sık erişen API’ler veya tarayıcı uzantılarını içerir.
  • Tek bir Gmail hesabı, 1.000 benzersiz delegeden oluşur. Gruplardaki bir grup, sınıra karşı bir delege olarak sayılır.
  • Delegasyon, bir Gmail hesabının sınırlarını artırmaz. Delegeli kullanıcıları olan Gmail hesapları, standart Gmail hesap sınırlarına ve politikalarına sahiptir. Ayrıntılar için Gmail sınırları ve politikaları sayfasını ziyaret edin.

Adım 1: Kullanıcılarınız için Gmail delegasyonunu etkinleştirin

Başlamadan önce: Belirli kullanıcılar için ayarı uygulamak için, hesaplarını bir organizasyon birimine koyun.

  1. Google Yönetici konsoluna giriş yapın.

Bir yönetici hesabı kullanarak giriş yapın, mevcut hesabınız olan CarlosPolop@gmail.com değil.

  1. Yönetici konsolunda, Menü’ye gidin ve sonra Uygulamalarve sonraGoogle Workspaceve sonraGmailve sonraKullanıcı ayarları.
  2. Ayarı herkes için uygulamak için, en üstteki organizasyon birimini seçili bırakın. Aksi takdirde, bir alt organizasyon birimi seçin.
  3. Posta delegasyonu’na tıklayın.
  4. Kullanıcıların Gmail hesaplarına diğer kullanıcılara erişim devretmesine izin ver kutusunu işaretleyin.
  5. (İsteğe bağlı) Kullanıcıların, hesaplarından gönderilen delege mesajlarında hangi gönderici bilgilerinin yer alacağını belirtmelerine izin vermek için, Kullanıcıların bu ayarı özelleştirmesine izin ver kutusunu işaretleyin.
  6. Delegeler tarafından gönderilen mesajlarda yer alacak varsayılan gönderici bilgisi için bir seçenek seçin:
  • Hesap sahibini ve e-postayı gönderen delegeleri göster—Mesajlar, Gmail hesap sahibinin ve delegenin e-posta adreslerini içerir.
  • Sadece hesap sahibini göster—Mesajlar yalnızca Gmail hesap sahibinin e-posta adresini içerir. Delege e-posta adresi dahil edilmez.
  1. (İsteğe bağlı) Kullanıcıların Gruplar’da bir grubu delege olarak eklemelerine izin vermek için, Kullanıcıların Gmail hesaplarına bir Google grubuna erişim vermesine izin ver kutusunu işaretleyin.
  2. Kaydet’e tıklayın. Bir alt organizasyon birimi yapılandırdıysanız, bir üst organizasyon biriminin ayarlarını Devral veya Geçersiz Kıl seçeneği ile uygulayabilirsiniz.
  3. (İsteğe bağlı) Diğer organizasyon birimleri için Gmail delegasyonunu etkinleştirmek için, adım 3-9’u tekrarlayın.

Değişikliklerin etkili olması 24 saate kadar sürebilir, ancak genellikle daha hızlı gerçekleşir. Daha fazla bilgi edinin

Adım 2: Kullanıcıların hesapları için delegeler ayarlamasını sağlayın

Delegasyonu etkinleştirdikten sonra, kullanıcılar Gmail ayarlarına giderek delegeleri atayabilir. Delegeler, kullanıcının adına mesajları okuyabilir, gönderebilir ve alabilir.

Ayrıntılar için kullanıcıları E-posta devretme ve işbirliği yapma sayfasına yönlendirin.

Normal bir kullanıcıdan, erişiminizi devretmek için buradan talimatları kontrol edin

(Bilgi belgelerden kopyalanmıştır)

En fazla 10 delege ekleyebilirsiniz.

Eğer iş, okul veya başka bir organizasyon aracılığıyla Gmail kullanıyorsanız:

  • Organizasyonunuz içinde en fazla 1000 delege ekleyebilirsiniz.
  • Tipik kullanımda, 40 delege aynı anda bir Gmail hesabına erişebilir.
  • Otomatik süreçler, API’ler veya tarayıcı uzantıları gibi kullanıyorsanız, birkaç delege aynı anda bir Gmail hesabına erişebilir.
  1. Bilgisayarınızda Gmail açın. Delegeleri Gmail uygulamasından ekleyemezsiniz.
  2. Sağ üstte, Ayarlar’a tıklayın Settings ve sonra Tüm ayarları görün.
  3. Hesaplar ve İçe Aktarma veya Hesaplar sekmesine tıklayın.
  4. “Hesabınıza erişim vermek” bölümünde, Başka bir hesap ekle’ye tıklayın. Eğer iş veya okul aracılığıyla Gmail kullanıyorsanız, organizasyonunuz e-posta delegasyonunu kısıtlayabilir. Bu ayarı görmüyorsanız, yöneticinizle iletişime geçin.
  • Hesabınıza erişim vermek için bu ayarı görmüyorsanız, o zaman kısıtlanmıştır.
  1. Eklemek istediğiniz kişinin e-posta adresini girin. Eğer iş, okul veya başka bir organizasyon aracılığıyla Gmail kullanıyorsanız ve yöneticiniz izin veriyorsa, bir grubun e-posta adresini girebilirsiniz. Bu grup, organizasyonunuzla aynı alan adına sahip olmalıdır. Grubun dış üyesi olanlar, delegasyon erişimini reddedilir.

    Önemli: Devrettiğiniz hesap yeni bir hesapsa veya şifre sıfırlanmışsa, yönetici ilk giriş yaptığınızda şifre değiştirme gerekliliğini kapatmalıdır.
  1. Sonraki Adım’a tıklayın ve sonra Erişim vermek için e-posta gönder.

Eklediğiniz kişi, onaylaması için bir e-posta alacaktır. Davet bir hafta sonra sona erecektir.

Eğer bir grup eklediyseniz, tüm grup üyeleri onaylamaya gerek kalmadan delege olacaktır.

Not: Delegasyonun etkili olması 24 saate kadar sürebilir.

Android Uygulaması ile Süreklilik

Eğer bir kurbanın google hesabında oturum açtıysanız, Play Store’a göz atabilir ve telefonuna yüklediğiniz kötü amaçlı yazılımı doğrudan telefona yükleyerek sürekliliği sağlamak ve kurbanın telefonuna erişmek için bunu yapabilirsiniz.

Uygulama Scriptleri ile Süreklilik

Uygulama Scriptlerinde zaman tabanlı tetikleyiciler oluşturabilirsiniz, böylece eğer Uygulama Scripti kullanıcı tarafından kabul edilirse, kullanıcı erişmeden bile tetiklenecektir. Bunu nasıl yapacağınız hakkında daha fazla bilgi için kontrol edin:

GWS - App Scripts

Referanslar

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin