GCP - IAM, Principals & Org Unauthenticated Enum
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Für weitere Informationen siehe:
GCP - IAM, Principals & Org Policies EnumÜberprüfen Sie die DNS-Einträge
Wenn es einen google-site-verification
Eintrag hat, ist es wahrscheinlich, dass es (oder es war) Workspace verwendet:
Wenn etwas wie include:_spf.google.com
erscheint, bestätigt das dies (beachten Sie, dass, wenn es nicht erscheint, es dies nicht ausschließt, da eine Domain in Workspace sein kann, ohne Gmail als E-Mail-Anbieter zu verwenden).
Versuchen Sie, ein Workspace mit dieser Domain einzurichten
Eine weitere Möglichkeit besteht darin, zu versuchen, ein Workspace mit der Domain einzurichten. Wenn es beschwert, dass die Domain bereits verwendet wird (wie im Bild), wissen Sie, dass sie bereits verwendet wird!
Um eine Workspace-Domain einzurichten, folgen Sie: https://workspace.google.com/business/signup/welcome
Versuchen Sie, das Passwort einer E-Mail mit dieser Domain wiederherzustellen
Wenn Sie eine gültige E-Mail-Adresse kennen, die in dieser Domain verwendet wird (wie: admin@email.com oder info@email.com), können Sie versuchen, das Konto wiederherzustellen unter https://accounts.google.com/signin/v2/recoveryidentifier. Wenn der Versuch keinen Fehler anzeigt, der darauf hinweist, dass Google keine Ahnung von diesem Konto hat, dann wird Workspace verwendet.
Es ist möglich, gültige E-Mails einer Workspace-Domain und SA-E-Mails aufzulisten, indem Sie versuchen, ihnen Berechtigungen zuzuweisen und die Fehlermeldungen zu überprüfen. Dazu müssen Sie nur die Berechtigung haben, Berechtigungen für ein Projekt zuzuweisen (das nur Ihnen gehören kann).
Beachten Sie, dass Sie, um sie zu überprüfen, aber selbst wenn sie existieren, ihnen keine Berechtigung gewähren können, den Typ serviceAccount
verwenden, wenn es sich um einen user
handelt, und user
, wenn es sich um ein SA
handelt:
Eine schnellere Möglichkeit, Servicekonten in bekannten Projekten aufzulisten, besteht darin, einfach zu versuchen, auf die URL zuzugreifen: https://iam.googleapis.com/v1/projects/<project-id>/serviceAccounts/<sa-email>
Zum Beispiel: https://iam.googleapis.com/v1/projects/gcp-labs-3uis1xlx/serviceAccounts/appengine-lab-1-tarsget@gcp-labs-3uis1xlx.iam.gserviceaccount.com
Wenn die Antwort 403 ist, bedeutet das, dass das SA existiert. Wenn die Antwort 404 ist, bedeutet das, dass es nicht existiert:
Beachten Sie, dass die Fehlermeldung anzeigt, dass der Typ nicht gültig ist, wenn die Benutzer-E-Mail gültig war. So konnten wir herausfinden, dass die E-Mail support@hacktricks.xyz existiert, ohne ihr irgendwelche Berechtigungen zu gewähren.
Sie können das gleiche mit Dienstkonten tun, indem Sie den Typ user:
anstelle von serviceAccount:
verwenden:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)