gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-06 09:43:42 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 18:57:14 +00:00
parent 7770a50092
commit 77a009d308
244 changed files with 8632 additions and 11470 deletions
Download Patch File Download Diff File Expand all files Collapse all files

190
src/pentesting-cloud/workspace-security/gws-persistence.md
View File

@@ -3,184 +3,180 @@
{{#include ../../banners/hacktricks-training.md}}
> [!CAUTION]
> All the actions mentioned in this section that change setting will generate a **security alert to the email and even a push notification to any mobile synced** with the account.
> Alle in diesem Abschnitt genannten Aktionen, die Einstellungen ändern, generieren einen **Sicherheitsalarm an die E-Mail und sogar eine Push-Benachrichtigung an jedes mit dem Konto synchronisierte Mobilgerät**.
## **Persistence in Gmail**
## **Persistenz in Gmail**
- You can create **filters to hide** security notifications from Google
- `from: (no-reply@accounts.google.com) "Security Alert"`
- This will prevent security emails to reach the email (but won't prevent push notifications to the mobile)
- Sie können **Filter erstellen, um** Sicherheitsbenachrichtigungen von Google zu verbergen.
- `from: (no-reply@accounts.google.com) "Security Alert"`
- Dies verhindert, dass Sicherheits-E-Mails die E-Mail erreichen (verhindert jedoch nicht, dass Push-Benachrichtigungen auf das Mobilgerät gesendet werden).
<details>
<summary>Steps to create a gmail filter</summary>
<summary>Schritte zum Erstellen eines Gmail-Filters</summary>
(Instructions from [**here**](https://support.google.com/mail/answer/6579))
(Anleitungen von [**hier**](https://support.google.com/mail/answer/6579))
1. Open [Gmail](https://mail.google.com/).
2. In the search box at the top, click Show search options ![photos tune](https://lh3.googleusercontent.com/cD6YR_YvqXqNKxrWn2NAWkV6tjJtg8vfvqijKT1_9zVCrl2sAx9jROKhLqiHo2ZDYTE=w36) .
3. Enter your search criteria. If you want to check that your search worked correctly, see what emails show up by clicking **Search**.
4. At the bottom of the search window, click **Create filter**.
5. Choose what youd like the filter to do.
6. Click **Create filter**.
1. Öffnen Sie [Gmail](https://mail.google.com/).
2. Klicken Sie im Suchfeld oben auf Suchoptionen anzeigen ![photos tune](https://lh3.googleusercontent.com/cD6YR_YvqXqNKxrWn2NAWkV6tjJtg8vfvqijKT1_9zVCrl2sAx9jROKhLqiHo2ZDYTE=w36).
3. Geben Sie Ihre Suchkriterien ein. Wenn Sie überprüfen möchten, ob Ihre Suche korrekt funktioniert hat, sehen Sie sich an, welche E-Mails angezeigt werden, indem Sie auf **Suchen** klicken.
4. Klicken Sie unten im Suchfenster auf **Filter erstellen**.
5. Wählen Sie aus, was der Filter tun soll.
6. Klicken Sie auf **Filter erstellen**.
Check your current filter (to delete them) in [https://mail.google.com/mail/u/0/#settings/filters](https://mail.google.com/mail/u/0/#settings/filters)
Überprüfen Sie Ihren aktuellen Filter (um ihn zu löschen) unter [https://mail.google.com/mail/u/0/#settings/filters](https://mail.google.com/mail/u/0/#settings/filters)
</details>
<figure><img src="../../images/image (331).png" alt=""><figcaption></figcaption></figure>
- Create **forwarding address to forward sensitive information** (or everything) - You need manual access.
- Create a forwarding address in [https://mail.google.com/mail/u/2/#settings/fwdandpop](https://mail.google.com/mail/u/2/#settings/fwdandpop)
- The receiving address will need to confirm this
- Then, set to forward all the emails while keeping a copy (remember to click on save changes):
- Erstellen Sie **eine Weiterleitungsadresse, um sensible Informationen** (oder alles) weiterzuleiten - Sie benötigen manuellen Zugriff.
- Erstellen Sie eine Weiterleitungsadresse unter [https://mail.google.com/mail/u/2/#settings/fwdandpop](https://mail.google.com/mail/u/2/#settings/fwdandpop)
- Die empfangende Adresse muss dies bestätigen.
- Stellen Sie dann ein, dass alle E-Mails weitergeleitet werden, während eine Kopie behalten wird (denken Sie daran, auf Änderungen speichern zu klicken):
<figure><img src="../../images/image (332).png" alt=""><figcaption></figcaption></figure>
It's also possible create filters and forward only specific emails to the other email address.
Es ist auch möglich, Filter zu erstellen und nur bestimmte E-Mails an die andere E-Mail-Adresse weiterzuleiten.
## App passwords
## App-Passwörter
If you managed to **compromise a google user session** and the user had **2FA**, you can **generate** an [**app password**](https://support.google.com/accounts/answer/185833?hl=en) (follow the link to see the steps). Note that **App passwords are no longer recommended by Google and are revoked** when the user **changes his Google Account password.**
Wenn Sie es geschafft haben, eine **Google-Benutzersitzung zu kompromittieren** und der Benutzer **2FA** hatte, können Sie ein [**App-Passwort**](https://support.google.com/accounts/answer/185833?hl=en) **generieren** (folgen Sie dem Link, um die Schritte zu sehen). Beachten Sie, dass **App-Passwörter von Google nicht mehr empfohlen werden und widerrufen werden**, wenn der Benutzer **sein Google-Konto-Passwort ändert.**
**Even if you have an open session you will need to know the password of the user to create an app password.**
**Selbst wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um ein App-Passwort zu erstellen.**
> [!NOTE]
> App passwords can **only be used with accounts that have 2-Step Verification** turned on.
> App-Passwörter können **nur mit Konten verwendet werden, die die 2-Schritt-Verifizierung** aktiviert haben.
## Change 2-FA and similar
## 2-FA ändern und ähnliches
It's also possible to **turn off 2-FA or to enrol a new device** (or phone number) in this page [**https://myaccount.google.com/security**](https://myaccount.google.com/security)**.**\
**It's also possible to generate passkeys (add your own device), change the password, add mobile numbers for verification phones and recovery, change the recovery email and change the security questions).**
Es ist auch möglich, **2-FA auszuschalten oder ein neues Gerät** (oder eine Telefonnummer) auf dieser Seite [**https://myaccount.google.com/security**](https://myaccount.google.com/security)** zu registrieren.**\
**Es ist auch möglich, Passkeys zu generieren (Ihr eigenes Gerät hinzuzufügen), das Passwort zu ändern, Mobilnummern für Verifizierungstelefone und Wiederherstellung hinzuzufügen, die Wiederherstellungs-E-Mail zu ändern und die Sicherheitsfragen zu ändern).**
> [!CAUTION]
> To **prevent security push notifications** to reach the phone of the user, you could **sign his smartphone out** (although that would be weird) because you cannot sign him in again from here.
> Um **zu verhindern, dass Sicherheits-Push-Benachrichtigungen** das Telefon des Benutzers erreichen, könnten Sie **sein Smartphone abmelden** (obwohl das seltsam wäre), da Sie ihn von hier aus nicht erneut anmelden können.
>
> It's also possible to **locate the device.**
> Es ist auch möglich, **das Gerät zu lokalisieren.**
**Even if you have an open session you will need to know the password of the user to change these settings.**
**Selbst wenn Sie eine offene Sitzung haben, müssen Sie das Passwort des Benutzers kennen, um diese Einstellungen zu ändern.**
## Persistence via OAuth Apps
## Persistenz über OAuth-Apps
If you have **compromised the account of a user,** you can just **accept** to grant all the possible permissions to an **OAuth App**. The only problem is that Workspace can be configure to **disallow unreviewed external and/or internal OAuth apps.**\
It is pretty common for Workspace Organizations to not trust by default external OAuth apps but trust internal ones, so if you have **enough permissions to generate a new OAuth application** inside the organization and external apps are disallowed, generate it and **use that new internal OAuth app to maintain persistence**.
Wenn Sie **das Konto eines Benutzers kompromittiert haben**, können Sie einfach **akzeptieren**, alle möglichen Berechtigungen für eine **OAuth-App** zu gewähren. Das einzige Problem ist, dass Workspace so konfiguriert werden kann, dass **nicht überprüfte externe und/oder interne OAuth-Apps nicht erlaubt sind.**\
Es ist ziemlich üblich, dass Workspace-Organisationen externen OAuth-Apps standardmäßig nicht vertrauen, aber internen schon, also wenn Sie **genug Berechtigungen haben, um eine neue OAuth-Anwendung** innerhalb der Organisation zu generieren und externe Apps nicht erlaubt sind, generieren Sie sie und **verwenden Sie diese neue interne OAuth-App, um Persistenz aufrechtzuerhalten**.
Check the following page for more information about OAuth Apps:
Überprüfen Sie die folgende Seite für weitere Informationen zu OAuth-Apps:
{{#ref}}
gws-google-platforms-phishing/
{{#endref}}
## Persistence via delegation
## Persistenz über Delegation
You can just **delegate the account** to a different account controlled by the attacker (if you are allowed to do this). In Workspace **Organizations** this option must be **enabled**. It can be disabled for everyone, enabled from some users/groups or for everyone (usually it's only enabled for some users/groups or completely disabled).
Sie können einfach das **Konto an ein anderes Konto** delegieren, das vom Angreifer kontrolliert wird (wenn Sie dazu berechtigt sind). In Workspace **Organisationen** muss diese Option **aktiviert** sein. Sie kann für alle deaktiviert, für einige Benutzer/Gruppen aktiviert oder für alle aktiviert werden (in der Regel ist sie nur für einige Benutzer/Gruppen aktiviert oder vollständig deaktiviert).
<details>
<summary>If you are a Workspace admin check this to enable the feature</summary>
<summary>Wenn Sie ein Workspace-Administrator sind, überprüfen Sie dies, um die Funktion zu aktivieren</summary>
(Information [copied form the docs](https://support.google.com/a/answer/7223765))
(Informationen [aus den Dokumenten kopiert](https://support.google.com/a/answer/7223765))
As an administrator for your organization (for example, your work or school), you control whether users can delegate access to their Gmail account. You can let everyone have the option to delegate their account. Or, only let people in certain departments set up delegation. For example, you can:
Als Administrator Ihrer Organisation (zum Beispiel Ihrer Arbeit oder Schule) steuern Sie, ob Benutzer den Zugriff auf ihr Gmail-Konto delegieren können. Sie können allen die Option geben, ihr Konto zu delegieren. Oder nur bestimmten Personen in bestimmten Abteilungen erlauben, die Delegation einzurichten. Zum Beispiel können Sie:
- Add an administrative assistant as a delegate on your Gmail account so they can read and send email on your behalf.
- Add a group, such as your sales department, in Groups as a delegate to give everyone access to one Gmail account.
- Einen Verwaltungsassistenten als Delegierten für Ihr Gmail-Konto hinzufügen, damit er E-Mails in Ihrem Namen lesen und senden kann.
- Eine Gruppe, wie Ihre Verkaufsabteilung, in Gruppen als Delegierten hinzufügen, um allen Zugriff auf ein Gmail-Konto zu geben.
Users can only delegate access to another user in the same organization, regardless of their domain or their organizational unit.
Benutzer können den Zugriff nur auf einen anderen Benutzer in derselben Organisation delegieren, unabhängig von ihrer Domain oder ihrer organisatorischen Einheit.
#### Delegation limits & restrictions
#### Delegationsgrenzen & -einschränkungen
- **Allow users to grant their mailbox access to a Google group** option: To use this option, it must be enabled for the OU of the delegated account and for each group member's OU. Group members that belong to an OU without this option enabled can't access the delegated account.
- With typical use, 40 delegated users can access a Gmail account at the same time. Above-average use by one or more delegates might reduce this number.
- Automated processes that frequently access Gmail might also reduce the number of delegates who can access an account at the same time. These processes include APIs or browser extensions that access Gmail frequently.
- A single Gmail account supports up to 1,000 unique delegates. A group in Groups counts as one delegate toward the limit.
- Delegation does not increase the limits for a Gmail account. Gmail accounts with delegated users have the standard Gmail account limits and policies. For details, visit [Gmail limits and policies](https://support.google.com/a/topic/28609).
- **Benutzern erlauben, den Zugriff auf ihr Postfach an eine Google-Gruppe zu gewähren**: Um diese Option zu verwenden, muss sie für die OU des delegierten Kontos und für die OU jedes Gruppenmitglieds aktiviert sein. Gruppenmitglieder, die zu einer OU gehören, für die diese Option nicht aktiviert ist, können nicht auf das delegierte Konto zugreifen.
- Bei typischer Nutzung können 40 delegierte Benutzer gleichzeitig auf ein Gmail-Konto zugreifen. Überdurchschnittliche Nutzung durch einen oder mehrere Delegierte kann diese Zahl verringern.
- Automatisierte Prozesse, die häufig auf Gmail zugreifen, können ebenfalls die Anzahl der Delegierten verringern, die gleichzeitig auf ein Konto zugreifen können. Diese Prozesse umfassen APIs oder Browsererweiterungen, die häufig auf Gmail zugreifen.
- Ein einzelnes Gmail-Konto unterstützt bis zu 1.000 eindeutige Delegierte. Eine Gruppe in Gruppen zählt als ein Delegierter für das Limit.
- Die Delegation erhöht nicht die Limits für ein Gmail-Konto. Gmail-Konten mit delegierten Benutzern haben die standardmäßigen Gmail-Kontolimits und -richtlinien. Für Details besuchen Sie [Gmail-Limits und -richtlinien](https://support.google.com/a/topic/28609).
#### Step 1: Turn on Gmail delegation for your users
#### Schritt 1: Aktivieren Sie die Gmail-Delegation für Ihre Benutzer
**Before you begin:** To apply the setting for certain users, put their accounts in an [organizational unit](https://support.google.com/a/topic/1227584).
**Bevor Sie beginnen:** Um die Einstellung für bestimmte Benutzer anzuwenden, setzen Sie deren Konten in eine [organisatorische Einheit](https://support.google.com/a/topic/1227584).
1. [Sign in](https://admin.google.com/) to your [Google Admin console](https://support.google.com/a/answer/182076).
1. [Melden Sie sich an](https://admin.google.com/) bei Ihrer [Google Admin-Konsole](https://support.google.com/a/answer/182076).
Sign in using an _administrator account_, not your current account CarlosPolop@gmail.com
Melden Sie sich mit einem _Administrator-Konto_ an, nicht mit Ihrem aktuellen Konto CarlosPolop@gmail.com
2. In the Admin console, go to Menu ![](https://storage.googleapis.com/support-kms-prod/JxKYG9DqcsormHflJJ8Z8bHuyVI5YheC0lAp)![and then](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)![](https://storage.googleapis.com/support-kms-prod/ocGtUSENh4QebLpvZcmLcNRZyaTBcolMRSyl) **Apps**![and then](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**Google Workspace**![and then](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**Gmail**![and then](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**User settings**.
3. To apply the setting to everyone, leave the top organizational unit selected. Otherwise, select a child [organizational unit](https://support.google.com/a/topic/1227584).
4. Click **Mail delegation**.
5. Check the **Let users delegate access to their mailbox to other users in the domain** box.
6. (Optional) To let users specify what sender information is included in delegated messages sent from their account, check the **Allow users to customize this setting** box.
7. Select an option for the default sender information that's included in messages sent by delegates:
- **Show the account owner and the delegate who sent the email**—Messages include the email addresses of the Gmail account owner and the delegate.
- **Show the account owner only**—Messages include the email address of only the Gmail account owner. The delegate email address is not included.
8. (Optional) To let users add a group in Groups as a delegate, check the **Allow users to grant their mailbox access to a Google group** box.
9. Click **Save**. If you configured a child organizational unit, you might be able to **Inherit** or **Override** a parent organizational unit's settings.
10. (Optional) To turn on Gmail delegation for other organizational units, repeat steps 39.
2. Gehen Sie in der Admin-Konsole zu Menü ![](https://storage.googleapis.com/support-kms-prod/JxKYG9DqcsormHflJJ8Z8bHuyVI5YheC0lAp)![und dann](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)![](https://storage.googleapis.com/support-kms-prod/ocGtUSENh4QebLpvZcmLcNRZyaTBcolMRSyl) **Apps**![und dann](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**Google Workspace**![und dann](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**Gmail**![und dann](https://storage.googleapis.com/support-kms-prod/Th2Tx0uwPMOhsMPn7nRXMUo3vs6J0pto2DTn)**Benutzereinstellungen**.
3. Um die Einstellung für alle anzuwenden, lassen Sie die oberste organisatorische Einheit ausgewählt. Andernfalls wählen Sie eine untergeordnete [organisatorische Einheit](https://support.google.com/a/topic/1227584).
4. Klicken Sie auf **Mail-Delegation**.
5. Aktivieren Sie das Kontrollkästchen **Benutzern erlauben, den Zugriff auf ihr Postfach an andere Benutzer in der Domain zu delegieren**.
6. (Optional) Um Benutzern zu erlauben, anzugeben, welche Absenderinformationen in delegierten Nachrichten enthalten sind, die von ihrem Konto gesendet werden, aktivieren Sie das Kontrollkästchen **Benutzern erlauben, diese Einstellung anzupassen**.
7. Wählen Sie eine Option für die standardmäßigen Absenderinformationen, die in von Delegierten gesendeten Nachrichten enthalten sind:
- **Zeigen Sie den Kontoinhaber und den Delegierten an, der die E-Mail gesendet hat**—Nachrichten enthalten die E-Mail-Adressen des Gmail-Kontoinhabers und des Delegierten.
- **Zeigen Sie nur den Kontoinhaber an**—Nachrichten enthalten nur die E-Mail-Adresse des Gmail-Kontoinhabers. Die E-Mail-Adresse des Delegierten ist nicht enthalten.
8. (Optional) Um Benutzern zu erlauben, eine Gruppe in Gruppen als Delegierten hinzuzufügen, aktivieren Sie das Kontrollkästchen **Benutzern erlauben, den Zugriff auf ihr Postfach an eine Google-Gruppe zu gewähren**.
9. Klicken Sie auf **Speichern**. Wenn Sie eine untergeordnete organisatorische Einheit konfiguriert haben, können Sie möglicherweise die Einstellungen einer übergeordneten organisatorischen Einheit **übernehmen** oder **überschreiben**.
10. (Optional) Um die Gmail-Delegation für andere organisatorische Einheiten zu aktivieren, wiederholen Sie die Schritte 39.
Changes can take up to 24 hours but typically happen more quickly. [Learn more](https://support.google.com/a/answer/7514107)
Änderungen können bis zu 24 Stunden dauern, erfolgen jedoch normalerweise schneller. [Erfahren Sie mehr](https://support.google.com/a/answer/7514107)
#### Step 2: Have users set up delegates for their accounts
#### Schritt 2: Lassen Sie Benutzer Delegierte für ihre Konten einrichten
After you turn on delegation, your users go to their Gmail settings to assign delegates. Delegates can then read, send, and receive messages on behalf of the user.
Nachdem Sie die Delegation aktiviert haben, gehen Ihre Benutzer zu ihren Gmail-Einstellungen, um Delegierte zuzuweisen. Delegierte können dann im Namen des Benutzers Nachrichten lesen, senden und empfangen.
For details, direct users to [Delegate and collaborate on email](https://support.google.com/a/users/answer/138350).
Für Details leiten Sie die Benutzer zu [Delegieren und zusammenarbeiten bei E-Mails](https://support.google.com/a/users/answer/138350).
</details>
<details>
<summary>From a regular suer, check here the instructions to try to delegate your access</summary>
<summary>Von einem regulären Benutzer, überprüfen Sie hier die Anweisungen, um zu versuchen, Ihren Zugriff zu delegieren</summary>
(Info copied [**from the docs**](https://support.google.com/mail/answer/138350))
(Info kopiert [**aus den Dokumenten**](https://support.google.com/mail/answer/138350))
You can add up to 10 delegates.
Sie können bis zu 10 Delegierte hinzufügen.
If you're using Gmail through your work, school, or other organization:
Wenn Sie Gmail über Ihre Arbeit, Schule oder andere Organisation verwenden:
- You can add up to 1000 delegates within your organization.
- With typical use, 40 delegates can access a Gmail account at the same time.
- If you use automated processes, such as APIs or browser extensions, a few delegates can access a Gmail account at the same time.
- Sie können bis zu 1000 Delegierte innerhalb Ihrer Organisation hinzufügen.
- Bei typischer Nutzung können 40 Delegierte gleichzeitig auf ein Gmail-Konto zugreifen.
- Wenn Sie automatisierte Prozesse verwenden, wie APIs oder Browsererweiterungen, können einige Delegierte gleichzeitig auf ein Gmail-Konto zugreifen.
1. On your computer, open [Gmail](https://mail.google.com/). You can't add delegates from the Gmail app.
2. In the top right, click Settings ![Settings](https://lh3.googleusercontent.com/p3J-ZSPOLtuBBR_ofWTFDfdgAYQgi8mR5c76ie8XQ2wjegk7-yyU5zdRVHKybQgUlQ=w36-h36) ![and then](https://lh3.googleusercontent.com/3_l97rr0GvhSP2XV5OoCkV2ZDTIisAOczrSdzNCBxhIKWrjXjHucxNwocghoUa39gw=w36-h36) **See all settings**.
3. Click the **Accounts and Import** or **Accounts** tab.
4. In the "Grant access to your account" section, click **Add another account**. If youre using Gmail through your work or school, your organization may restrict email delegation. If you dont see this setting, contact your admin.
- If you don't see Grant access to your account, then it's restricted.
5. Enter the email address of the person you want to add. If youre using Gmail through your work, school, or other organization, and your admin allows it, you can enter the email address of a group. This group must have the same domain as your organization. External members of the group are denied delegation access.\
\
**Important:** If the account you delegate is a new account or the password was reset, the Admin must turn off the requirement to change password when you first sign in.
1. Öffnen Sie auf Ihrem Computer [Gmail](https://mail.google.com/). Sie können Delegierte nicht über die Gmail-App hinzufügen.
2. Klicken Sie oben rechts auf Einstellungen ![Einstellungen](https://lh3.googleusercontent.com/p3J-ZSPOLtuBBR_ofWTFDfdgAYQgi8mR5c76ie8XQ2wjegk7-yyU5zdRVHKybQgUlQ=w36-h36) ![und dann](https://lh3.googleusercontent.com/3_l97rr0GvhSP2XV5OoCkV2ZDTIisAOczrSdzNCBxhIKWrjXjHucxNwocghoUa39gw=w36-h36) **Alle Einstellungen anzeigen**.
3. Klicken Sie auf die Registerkarte **Konten und Import** oder **Konten**.
4. Klicken Sie im Abschnitt "Zugriff auf Ihr Konto gewähren" auf **Ein weiteres Konto hinzufügen**. Wenn Sie Gmail über Ihre Arbeit oder Schule verwenden, kann Ihre Organisation die E-Mail-Delegation einschränken. Wenn Sie diese Einstellung nicht sehen, wenden Sie sich an Ihren Administrator.
- Wenn Sie "Zugriff auf Ihr Konto gewähren" nicht sehen, ist es eingeschränkt.
5. Geben Sie die E-Mail-Adresse der Person ein, die Sie hinzufügen möchten. Wenn Sie Gmail über Ihre Arbeit, Schule oder andere Organisation verwenden und Ihr Administrator dies erlaubt, können Sie die E-Mail-Adresse einer Gruppe eingeben. Diese Gruppe muss dieselbe Domain wie Ihre Organisation haben. Externe Mitglieder der Gruppe wird der Zugriff auf die Delegation verweigert.\
\
**Wichtig:** Wenn das Konto, das Sie delegieren, ein neues Konto ist oder das Passwort zurückgesetzt wurde, muss der Administrator die Anforderung deaktivieren, das Passwort beim ersten Anmelden zu ändern.
- [Learn how an Admin can create a user](https://support.google.com/a/answer/33310).
- [Learn how an Admin can reset passwords](https://support.google.com/a/answer/33319).
- [Erfahren Sie, wie ein Administrator einen Benutzer erstellen kann](https://support.google.com/a/answer/33310).
- [Erfahren Sie, wie ein Administrator Passwörter zurücksetzen kann](https://support.google.com/a/answer/33319).
6\. Click **Next Step** ![and then](https://lh3.googleusercontent.com/QbWcYKta5vh_4-OgUeFmK-JOB0YgLLoGh69P478nE6mKdfpWQniiBabjF7FVoCVXI0g=h36) **Send email to grant access**.
6. Klicken Sie auf **Nächster Schritt** ![und dann](https://lh3.googleusercontent.com/QbWcYKta5vh_4-OgUeFmK-JOB0YgLLoGh69P478nE6mKdfpWQniiBabjF7FVoCVXI0g=h36) **E-Mail senden, um Zugriff zu gewähren**.
The person you added will get an email asking them to confirm. The invitation expires after a week.
Die Person, die Sie hinzugefügt haben, erhält eine E-Mail, in der sie um Bestätigung gebeten wird. Die Einladung läuft nach einer Woche ab.
If you added a group, all group members will become delegates without having to confirm.
Wenn Sie eine Gruppe hinzugefügt haben, werden alle Gruppenmitglieder ohne Bestätigung Delegierte.
Note: It may take up to 24 hours for the delegation to start taking effect.
Hinweis: Es kann bis zu 24 Stunden dauern, bis die Delegation wirksam wird.
</details>
## Persistence via Android App
## Persistenz über die Android-App
If you have a **session inside victims google account** you can browse to the **Play Store** and might be able to **install malware** you have already uploaded to the store directly **to the phone** to maintain persistence and access the victims phone.
Wenn Sie eine **Sitzung im Google-Konto des Opfers** haben, können Sie zum **Play Store** browsen und möglicherweise **Malware installieren**, die Sie bereits im Store hochgeladen haben, direkt **auf das Telefon**, um Persistenz aufrechtzuerhalten und auf das Telefon des Opfers zuzugreifen.
## **Persistence via** App Scripts
## **Persistenz über** App-Skripte
You can create **time-based triggers** in App Scripts, so if the App Script is accepted by the user, it will be **triggered** even **without the user accessing it**. For more information about how to do this check:
Sie können **zeitbasierte Trigger** in App-Skripten erstellen, sodass, wenn das App-Skript vom Benutzer akzeptiert wird, es **ausgelöst** wird, selbst **ohne dass der Benutzer darauf zugreift**. Für weitere Informationen darüber, wie Sie dies tun können, überprüfen Sie:
{{#ref}}
gws-google-platforms-phishing/gws-app-scripts.md
{{#endref}}
## References
## Referenzen
- [https://www.youtube-nocookie.com/embed/6AsVUS79gLw](https://www.youtube-nocookie.com/embed/6AsVUS79gLw) - Matthew Bryant - Hacking G Suite: The Power of Dark Apps Script Magic
- [https://www.youtube.com/watch?v=KTVHLolz6cE](https://www.youtube.com/watch?v=KTVHLolz6cE) - Mike Felch and Beau Bullock - OK Google, How do I Red Team GSuite?
- [https://www.youtube.com/watch?v=KTVHLolz6cE](https://www.youtube.com/watch?v=KTVHLolz6cE) - Mike Felch und Beau Bullock - OK Google, wie mache ich Red Team GSuite?
{{#include ../../banners/hacktricks-training.md}}