hacktricks-cloud/src/pentesting-cloud/workspace-security/gws-persistence.md

GWS - Persistensie

{{#include ../../banners/hacktricks-training.md}}

Caution

Alle aksies wat in hierdie afdeling genoem word wat instellings verander, sal 'n veiligheidswaarskuwing na die e-pos en selfs 'n push kennisgewing na enige mobiele toestel wat met die rekening gesinkroniseer is genereer.

Persistensie in Gmail

• Jy kan filters skep om veiligheidswaarskuwings van Google te verberg
• from: (no-reply@accounts.google.com) "Security Alert"
• Dit sal voorkom dat veiligheids-e-posse die e-pos bereik (maar sal nie voorkom dat push kennisgewings na die mobiele toestel gaan nie)

Stappe om 'n gmail-filter te skep

(Instruksies van hier)

1. Maak Gmail oop.
2. Klik op die soekboks aan die bokant, klik op Soekopsies wys .
3. Voer jou soekkriteria in. As jy wil kyk of jou soek korrek gewerk het, kyk watter e-posse verskyn deur op Soek te klik.
4. Klik onderaan die soekvenster op Skep filter.
5. Kies wat jy wil hê die filter moet doen.
6. Klik op Skep filter.

Kontroleer jou huidige filter (om dit te verwyder) in https://mail.google.com/mail/u/0/#settings/filters

• Skep oorplasing adres om sensitiewe inligting (of alles) te oorplaas - Jy het handmatige toegang nodig.
• Skep 'n oorplasing adres in https://mail.google.com/mail/u/2/#settings/fwdandpop
• Die ontvangende adres sal dit moet bevestig
• Stel dan in om al die e-posse oor te plaas terwyl 'n kopie behou word (onthou om op veranderinge te stoor te klik):

Dit is ook moontlik om filters te skep en slegs spesifieke e-posse na die ander e-posadres oor te plaas.

App wagwoorde

As jy daarin geslaag het om 'n google gebruikersessie te kompromitteer en die gebruiker het 2FA, kan jy 'n app wagwoord genereer (volg die skakel om die stappe te sien). Let daarop dat App wagwoorde nie meer deur Google aanbeveel word nie en word herroep wanneer die gebruiker sy Google-rekening wagwoord verander.

Selfs as jy 'n oop sessie het, sal jy die wagwoord van die gebruiker moet weet om 'n app wagwoord te skep.

Note

App wagwoorde kan slegs gebruik word met rekeninge wat 2-Stap Verifikasie geaktiveer het.

Verander 2-FA en soortgelyk

Dit is ook moontlik om 2-FA af te skakel of 'n nuwe toestel (of telefoonnommer) op hierdie bladsy https://myaccount.google.com/security.
Dit is ook moontlik om wagsleutels te genereer (voeg jou eie toestel by), die wagwoord te verander, mobiele nommers vir verifikasietelefones en herstel, die herstel e-pos te verander en die veiligheidsvrae te verander).

Caution

Om veiligheids push kennisgewings te voorkom om die telefoon van die gebruiker te bereik, kan jy sy slimfoon afteken (alhoewel dit vreemd sou wees) omdat jy hom nie weer van hier af kan aanmeld nie.

Dit is ook moontlik om die toestel te lokaliseer.

Selfs as jy 'n oop sessie het, sal jy die wagwoord van die gebruiker moet weet om hierdie instellings te verander.

Persistensie via OAuth Apps

As jy die rekening van 'n gebruiker gecompromitteer het, kan jy net aanvaar om al die moontlike toestemmings aan 'n OAuth App toe te staan. Die enigste probleem is dat Workspace geconfigureer kan word om onbeoordeelde eksterne en/of interne OAuth apps te verbied.
Dit is redelik algemeen dat Workspace Organisasies nie standaard eksterne OAuth apps vertrou nie, maar interne wel, so as jy genoeg toestemmings het om 'n nuwe OAuth toepassing binne die organisasie te genereer en eksterne apps is verbied, genereer dit en gebruik daardie nuwe interne OAuth app om persistensie te handhaaf.

Kyk na die volgende bladsy vir meer inligting oor OAuth Apps:

{{#ref}} gws-google-platforms-phishing/ {{#endref}}

Persistensie via delegasie

Jy kan net die rekening aan 'n ander rekening wat deur die aanvaller beheer word, delegeer (as jy toegelaat word om dit te doen). In Workspace Organisasies moet hierdie opsie geaktiveer wees. Dit kan vir almal gedeaktiveer word, van sommige gebruikers/groepe geaktiveer of vir almal (gewoonlik is dit slegs geaktiveer vir sommige gebruikers/groepe of heeltemal gedeaktiveer).

As jy 'n Workspace admin is, kyk hier om die funksie te aktiveer

(Inligting gekopieer uit die dokumentasie)

As 'n administrateur vir jou organisasie (byvoorbeeld, jou werk of skool), beheer jy of gebruikers toegang tot hul Gmail-rekening kan delegeer. Jy kan almal die opsie gee om hul rekening te delegeer. Of, net mense in sekere departemente toelaat om delegasie op te stel. Byvoorbeeld, jy kan:

• Voeg 'n administratiewe assistent as 'n gedelegeerde op jou Gmail-rekening sodat hulle e-pos namens jou kan lees en stuur.
• Voeg 'n groep, soos jou verkoopsafdeling, in Groepe as 'n gedelegeerde toe om almal toegang tot een Gmail-rekening te gee.

Gebruikers kan slegs toegang tot 'n ander gebruiker in dieselfde organisasie delegeer, ongeag hul domein of hul organisatoriese eenheid.

Delegasie beperkings & beperkings

• Laat gebruikers toe om toegang tot hul posbus aan 'n Google-groep te verleen opsie: Om hierdie opsie te gebruik, moet dit geaktiveer wees vir die OU van die gedelegeerde rekening en vir elke groep lid se OU. Groep lede wat aan 'n OU behoort sonder hierdie opsie geaktiveer, kan nie toegang tot die gedelegeerde rekening verkry nie.
• Met tipiese gebruik kan 40 gedelegeerde gebruikers terselfdertyd toegang tot 'n Gmail-rekening verkry. Bo-gemiddelde gebruik deur een of meer gedelegeerdes kan hierdie getal verminder.
• Geoutomatiseerde prosesse wat gereeld toegang tot Gmail verkry, kan ook die aantal gedelegeerdes wat terselfdertyd toegang tot 'n rekening kan verkry, verminder. Hierdie prosesse sluit API's of blaaiers uitbreidings in wat gereeld toegang tot Gmail verkry.
• 'n Enkele Gmail-rekening ondersteun tot 1,000 unieke gedelegeerdes. 'n Groep in Groepe tel as een gedelegeerde teen die limiet.
• Delegasie verhoog nie die limiete vir 'n Gmail-rekening nie. Gmail-rekeninge met gedelegeerde gebruikers het die standaard Gmail-rekening limiete en beleide. Vir besonderhede, besoek Gmail limiete en beleide.

Stap 1: Skakel Gmail-delegasie aan vir jou gebruikers

Voordat jy begin: Om die instelling vir sekere gebruikers toe te pas, plaas hul rekeninge in 'n organisatoriese eenheid.

1. Teken in op jou Google Admin-konsol.

Teken in met 'n administrateur rekening, nie jou huidige rekening CarlosPolop@gmail.com nie.

2. In die Admin-konsol, gaan na Menu AppsGoogle WorkspaceGmailGebruikersinstellings.
3. Om die instelling vir almal toe te pas, laat die boonste organisatoriese eenheid geselekteer. Andersins, kies 'n kind organisatoriese eenheid.
4. Klik op Posdelegasie.
5. Merk die Laat gebruikers toe om toegang tot hul posbus aan ander gebruikers in die domein te verleen blokkie.
6. (Opsioneel) Om gebruikers toe te laat om te spesifiseer watter senderinligting ingesluit is in gedelegeerde boodskappe wat van hul rekening gestuur word, merk die Laat gebruikers toe om hierdie instelling aan te pas blokkie.
7. Kies 'n opsie vir die standaard senderinligting wat ingesluit is in boodskappe wat deur gedelegeerdes gestuur word:

• Wys die rekening eienaar en die gedelegeerde wat die e-pos gestuur het—Boodskappe sluit die e-pos adresse van die Gmail rekening eienaar en die gedelegeerde in.
• Wys slegs die rekening eienaar—Boodskappe sluit slegs die e-pos adres van die Gmail rekening eienaar in. Die gedelegeerde e-pos adres is nie ingesluit nie.

8. (Opsioneel) Om gebruikers toe te laat om 'n groep in Groepe as 'n gedelegeerde toe te voeg, merk die Laat gebruikers toe om toegang tot hul posbus aan 'n Google-groep te verleen blokkie.
9. Klik op Stoor. As jy 'n kind organisatoriese eenheid geconfigureer het, kan jy dalk Erf of Oorskry 'n ouer organisatoriese eenheid se instellings.
10. (Opsioneel) Om Gmail-delegasie vir ander organisatoriese eenhede aan te skakel, herhaal stappe 3–9.

Veranderinge kan tot 24 uur neem, maar gebeur gewoonlik vinniger. Leer meer

Stap 2: Laat gebruikers gedelegeerdes vir hul rekeninge opstel

Nadat jy delegasie aangeskakel het, gaan jou gebruikers na hul Gmail-instellings om gedelegeerdes toe te ken. Gedelegeerdes kan dan boodskappe namens die gebruiker lees, stuur en ontvang.

Vir besonderhede, verwys gebruikers na Delegeer en werk saam aan e-pos.

Van 'n gewone gebruiker, kyk hier die instruksies om te probeer om jou toegang te delegeer

(Inligting gekopieer uit die dokumentasie)

Jy kan tot 10 gedelegeerdes byvoeg.

As jy Gmail deur jou werk, skool of ander organisasie gebruik:

• Jy kan tot 1000 gedelegeerdes binne jou organisasie byvoeg.
• Met tipiese gebruik kan 40 gedelegeerde gebruikers terselfdertyd toegang tot 'n Gmail-rekening verkry.
• As jy geoutomatiseerde prosesse gebruik, soos API's of blaaiers uitbreidings, kan 'n paar gedelegeerdes terselfdertyd toegang tot 'n Gmail-rekening verkry.

1. Op jou rekenaar, maak Gmail oop. Jy kan nie gedelegeerdes vanuit die Gmail-app byvoeg nie.
2. Klik regs bo op Instellings Sien alle instellings.
3. Klik op die Rekeninge en Invoer of Rekeninge tab.
4. In die "Verleen toegang tot jou rekening" afdeling, klik op Voeg 'n ander rekening by. As jy Gmail deur jou werk of skool gebruik, mag jou organisasie e-posdelegasie beperk. As jy nie hierdie instelling sien nie, kontak jou admin.

• As jy nie "Verleen toegang tot jou rekening" sien nie, dan is dit beperk.

5. Voer die e-pos adres van die persoon wat jy wil byvoeg in. As jy Gmail deur jou werk, skool of ander organisasie gebruik, en jou admin dit toelaat, kan jy die e-pos adres van 'n groep invoer. Hierdie groep moet dieselfde domein as jou organisasie hê. Eksterne lede van die groep word toegang tot delegasie ontken.
   
   Belangrik: As die rekening wat jy delegeer 'n nuwe rekening is of die wagwoord gereset is, moet die Admin die vereiste om die wagwoord te verander wanneer jy eerste aanmeld, afskakel.

• Leer hoe 'n Admin 'n gebruiker kan skep.
• Leer hoe 'n Admin wagwoorde kan reset.

6. Klik op Volgende Stap Stuur e-pos om toegang te verleen.

Die persoon wat jy bygevoeg het, sal 'n e-pos ontvang wat hulle vra om te bevestig. Die uitnodiging verval na 'n week.

As jy 'n groep bygevoeg het, sal alle groepslede gedelegeerdes word sonder om te bevestig.

Let wel: Dit kan tot 24 uur neem voordat die delegasie begin om effektief te wees.

Persistensie via Android App

As jy 'n sessie binne die slagoffer se google rekening het, kan jy na die Play Store blaai en dalk in staat wees om malware wat jy reeds na die winkel opgelaai het, direk na die telefoon te installeer om persistensie te handhaaf en toegang tot die slagoffer se telefoon te verkry.

Persistensie via App Skripte

Jy kan tyd-gebaseerde triggers in App Skripte skep, so as die App Skrip deur die gebruiker aanvaar word, sal dit geaktiveer word selfs sonder dat die gebruiker dit toegang het. Vir meer inligting oor hoe om dit te doen, kyk:

{{#ref}} gws-google-platforms-phishing/gws-app-scripts.md {{#endref}}

Verwysings

• https://www.youtube-nocookie.com/embed/6AsVUS79gLw - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
• https://www.youtube.com/watch?v=KTVHLolz6cE - Mike Felch en Beau Bullock - OK Google, Hoe doen ek 'n Red Team GSuite?

{{#include ../../banners/hacktricks-training.md}}