GWS - Admin Directory Sync

基本信息

这种与 GCDS 同步用户的方式的主要区别在于，GCDS 是通过一些需要下载和运行的二进制文件手动完成的，而 管理目录同步是无服务器的，由 Google 在 https://admin.google.com/ac/sync/externaldirectories 管理。

在撰写本文时，该服务处于测试阶段，支持两种类型的同步：来自 Active Directory 和 Azure Entra ID：

• Active Directory： 为了设置此功能，您需要授予 Google 访问您的 Active Directory 环境。由于 Google 仅能访问 GCP 网络（通过 VPC 连接器），您需要创建一个连接器，然后通过在 GCP 网络中的虚拟机或使用 Cloud VPN 或 Cloud Interconnect 使您的 AD 可用。然后，您还需要提供具有读取目录权限的帐户的 凭据 和 证书 以通过 LDAPS 进行联系。

• Azure Entra ID： 配置此功能只需在 Google 显示的弹出窗口中使用具有读取权限的用户登录 Azure，Google 将保留对 Entra ID 的读取权限的令牌。

一旦正确配置，这两种选项都将允许将用户和组同步到 Workspace，但不允许从 Workspace 配置用户和组到 AD 或 EntraID。

在此同步过程中，它还将允许其他选项：

• 向新用户发送电子邮件以登录

• 自动将他们的电子邮件地址更改为 Workspace 使用的地址。因此，如果 Workspace 使用 @hacktricks.xyz，而 EntraID 用户使用 @carloshacktricks.onmicrosoft.com，则为在帐户中创建的用户将使用 @hacktricks.xyz。

• 选择包含将被同步的用户的组。

• 选择要在 Workspace 中同步和创建的组（或指示同步所有组）。

从 AD/EntraID -> Google Workspace (& GCP)

如果您成功攻陷了 AD 或 EntraID，您将完全控制将与 Google Workspace 同步的用户和组。 但是，请注意，用户在 Workspace 中可能使用的 密码 可能是相同的，也可能不同。

攻击用户

当同步发生时，它可能会同步 来自 AD 的所有用户或仅来自特定 OU 的用户，或仅 EntraID 中特定组的成员用户。这意味着要攻击一个已同步的用户（或创建一个新的被同步的用户），您需要首先弄清楚哪些用户正在被同步。

• 用户可能在 AD 或 EntraID 中重用密码，但这意味着您需要 攻陷用户的密码以登录。

• 如果您可以访问用户的 邮件，您可以 更改现有用户的 Workspace 密码，或 创建一个新用户，等待其被同步并设置帐户。

一旦您访问了 Workspace 中的用户，可能会默认授予一些 权限。

攻击组

您还需要首先弄清楚哪些组正在被同步。尽管有可能 所有 组都在被同步（因为 Workspace 允许这样）。

如果您知道 Azure 中哪些组被 分配了 Workspace 或 GCP 中的权限，您可以将一个被攻陷的用户（或新创建的用户）添加到该组中并获得这些权限。

还有另一种方法可以滥用 Workspace 中现有的特权组。例如，组 gcp-organization-admins@<workspace.email> 通常在 GCP 中具有高权限。

如果从 EntraID 到 Workspace 的同步 配置为用 Workspace 的电子邮件替换导入对象的域，攻击者将能够在 EntraID 中创建组 gcp-organization-admins@<entraid.email>，将用户添加到该组中，并等待所有组的同步发生。 该用户将被添加到组 gcp-organization-admins@<workspace.email> 中，从而在 GCP 中提升权限。

从 Google Workspace -> AD/EntraID

请注意，Workspace 需要具有对 AD 或 EntraID 的只读访问权限的凭据以同步用户和组。因此，目前无法滥用 Google Workspace 对 AD 或 EntraID 进行任何更改。因此，这在此时是不可能的。

我也不知道 Google 将 AD 凭据或 EntraID 令牌存储在哪里，您 无法通过重新配置同步来恢复它们（它们不会出现在网页表单中，您需要再次提供）。但是，从网页上可能可以滥用当前功能来 列出用户和组。