Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an dieHackTricks und HackTricks Cloud GitHub-Repositorys einreichen.
Alle in diesem Abschnitt erwähnten Aktionen, die Einstellungen ändern, generieren eine Sicherheitswarnung an die E-Mail und sogar eine Push-Benachrichtigung an jedes synchronisierte Mobilgerät mit dem Konto.
Persistenz in Gmail
Sie können Filter erstellen, um Sicherheitsbenachrichtigungen von Google zu verbergen
Dadurch werden Sicherheits-E-Mails daran gehindert, das E-Mail-Konto zu erreichen (verhindert jedoch nicht, dass Push-Benachrichtigungen auf dem Mobilgerät angezeigt werden)
Geben Sie Ihre Suchkriterien ein. Wenn Sie überprüfen möchten, ob Ihre Suche korrekt funktioniert hat, sehen Sie sich die angezeigten E-Mails an, indem Sie auf Suchen klicken.
Klicken Sie unten im Suchfenster auf Filter erstellen.
Dann richten Sie ein, alle E-Mails weiterzuleiten und eine Kopie zu behalten (vergessen Sie nicht, auf Änderungen speichern zu klicken):
Es ist auch möglich, Filter zu erstellen und nur bestimmte E-Mails an die andere E-Mail-Adresse weiterzuleiten.
App-Passwörter
Wenn es Ihnen gelungen ist, eine Google-Benutzersitzung zu kompromittieren und der Benutzer 2FA hatte, können Sie ein App-Passwort generieren (folgen Sie dem Link, um die Schritte zu sehen). Beachten Sie, dass App-Passwörter von Google nicht mehr empfohlen werden und widerrufen werden, wenn der Benutzer sein Google-Konto-Passwort ändert.
Auch wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um ein App-Passwort zu erstellen.
App-Passwörter können nur mit Konten verwendet werden, bei denen die Zwei-Schritt-Verifizierung aktiviert ist.
2-FA und ähnliches ändern
Es ist auch möglich, die 2-FA auszuschalten oder ein neues Gerät (oder Telefonnummer) auf dieser Seite zu registrieren https://myaccount.google.com/security.Es ist auch möglich, Passwörter zu generieren (fügen Sie Ihr eigenes Gerät hinzu), das Passwort zu ändern, Mobilnummern für die Überprüfung von Telefonen hinzuzufügen und die Wiederherstellung zu ändern, die Wiederherstellungs-E-Mail zu ändern und die Sicherheitsfragen zu ändern).
Um zu verhindern, dass Sicherheits-Push-Benachrichtigungen das Telefon des Benutzers erreichen, könnten Sie sein Smartphone abmelden (obwohl das seltsam wäre), da Sie ihn nicht von hier aus erneut anmelden können.
Es ist auch möglich, das Gerät zu lokalisieren.
Auch wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um diese Einstellungen zu ändern.
Persistenz über OAuth-Apps
Wenn Sie das Konto eines Benutzers kompromittiert haben, können Sie einfach zustimmen, alle möglichen Berechtigungen an eine OAuth-App zu erteilen. Das einzige Problem ist, dass Workspace so konfiguriert werden kann, dass nicht überprüfte externe und/oder interne OAuth-Apps nicht zugelassen sind.
Es ist ziemlich üblich, dass Workspace-Organisationen standardmäßig externen OAuth-Apps nicht vertrauen, internen jedoch vertrauen. Wenn Sie also ausreichende Berechtigungen haben, um eine neue OAuth-Anwendung innerhalb der Organisation zu generieren und externe Apps nicht zugelassen sind, generieren Sie diese und verwenden Sie diese neue interne OAuth-App, um die Persistenz aufrechtzuerhalten.
Überprüfen Sie die folgende Seite für weitere Informationen zu OAuth-Apps:
Sie können einfach das Konto an ein anderes Konto delegieren, das vom Angreifer kontrolliert wird (sofern dies erlaubt ist). In Workspace-Organisationen muss diese Option aktiviert sein. Sie kann für alle deaktiviert, für einige Benutzer/Gruppen aktiviert oder für alle aktiviert sein (normalerweise ist sie nur für einige Benutzer/Gruppen aktiviert oder vollständig deaktiviert).
Wenn Sie ein Workspace-Administrator sind, überprüfen Sie dies, um die Funktion zu aktivieren
Als Administrator für Ihre Organisation (zum Beispiel Ihre Arbeit oder Schule) kontrollieren Sie, ob Benutzer den Zugriff auf ihr Gmail-Konto delegieren können. Sie können allen die Möglichkeit geben, ihr Konto zu delegieren. Oder nur Personen in bestimmten Abteilungen die Einrichtung der Delegation erlauben. Zum Beispiel können Sie:
Fügen Sie einen Verwaltungsassistenten als Delegierten zu Ihrem Gmail-Konto hinzu, damit er in Ihrem Namen E-Mails lesen und senden kann.
Fügen Sie eine Gruppe, wie Ihre Verkaufsabteilung, in Gruppen als Delegierten hinzu, um allen Zugriff auf ein Gmail-Konto zu geben.
Benutzer können nur einem anderen Benutzer in derselben Organisation Zugriff delegieren, unabhängig von ihrer Domain oder ihrer organisatorischen Einheit.
Delegationsgrenzen & Einschränkungen
Benutzern erlauben, ihren Posteingang einer Google-Gruppe zu gewähren Option: Um diese Option zu verwenden, muss sie für die OU des delegierten Kontos und für die OU jedes Gruppenmitglieds aktiviert sein. Gruppenmitglieder, die zu einer OU gehören, in der diese Option nicht aktiviert ist, können nicht auf das delegierte Konto zugreifen.
Bei typischer Verwendung können 40 delegierte Benutzer gleichzeitig auf ein Gmail-Konto zugreifen. Überdurchschnittliche Nutzung durch einen oder mehrere Delegierte kann diese Zahl reduzieren.
Automatisierte Prozesse, die häufig auf Gmail zugreifen, können ebenfalls die Anzahl der Delegierten reduzieren, die gleichzeitig auf ein Konto zugreifen können. Diese Prozesse umfassen APIs oder Browsererweiterungen, die häufig auf Gmail zugreifen.
Ein einzelnes Gmail-Konto unterstützt bis zu 1.000 eindeutige Delegierte. Eine Gruppe in Gruppen zählt als ein Delegierter für das Limit.
Delegation erhöht nicht die Grenzen für ein Gmail-Konto. Gmail-Konten mit delegierten Benutzern haben die standardmäßigen Gmail-Kontogrenzen und -richtlinien. Weitere Informationen finden Sie unter Gmail-Grenzen und -Richtlinien.
Schritt 1: Aktivieren Sie die Gmail-Delegation für Ihre Benutzer
Bevor Sie beginnen: Um die Einstellung für bestimmte Benutzer anzuwenden, platzieren Sie ihre Konten in einer organisatorischen Einheit.
Um die Einstellung auf alle anzuwenden, lassen Sie die oberste organisatorische Einheit ausgewählt. Andernfalls wählen Sie eine untergeordnete organisatorische Einheit.
Klicken Sie auf Maildelegation.
Aktivieren Sie das Kontrollkästchen Benutzern erlauben, anderen Benutzern in der Domäne den Zugriff auf ihr Postfach zu delegieren.
(Optional) Um Benutzern zu erlauben, anzugeben, welche Absenderinformationen in delegierten Nachrichten enthalten sind, aktivieren Sie das Kontrollkästchen Benutzern erlauben, diese Einstellung anzupassen.
Wählen Sie eine Option für die standardmäßig enthaltenen Absenderinformationen in Nachrichten, die von Delegierten gesendet werden:
Zeigen Sie den Kontoinhaber und den Delegierten, der die E-Mail gesendet hat—Nachrichten enthalten die E-Mail-Adressen des Gmail-Kontoinhabers und des Delegierten.
Zeigen Sie nur den Kontoinhaber—Nachrichten enthalten nur die E-Mail-Adresse des Gmail-Kontoinhabers. Die E-Mail-Adresse des Delegierten wird nicht enthalten.
(Optional) Um Benutzern das Hinzufügen einer Gruppe in Gruppen als Delegierten zu ermöglichen, aktivieren Sie das Kontrollkästchen Benutzern erlauben, ihrem Postfach Zugriff auf eine Google-Gruppe zu gewähren.
Klicken Sie auf Speichern. Wenn Sie eine untergeordnete organisatorische Einheit konfiguriert haben, können Sie möglicherweise die Einstellungen einer übergeordneten organisatorischen Einheit vererben oder überschreiben.
(Optional) Um die Gmail-Delegation für andere organisatorische Einheiten zu aktivieren, wiederholen Sie die Schritte 3–9.
Änderungen können bis zu 24 Stunden dauern, erfolgen jedoch normalerweise schneller. Weitere Informationen
Schritt 2: Benutzer zur Einrichtung von Delegierten für ihre Konten anleiten
Nachdem Sie die Delegation aktiviert haben, gehen Ihre Benutzer zu ihren Gmail-Einstellungen, um Delegierte zuzuweisen. Delegierte können dann Nachrichten im Auftrag des Benutzers lesen, senden und empfangen.
* **Teilen Sie Ihre Hacking-Tricks, indem Sie Pull Requests an die** [**HackTricks**](https://github.com/carlospolop/hacktricks) **und** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **GitHub-Repositorys senden.**
