GWS - Admin Directory Sync
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Der Hauptunterschied zwischen dieser Methode zur Synchronisierung von Benutzern mit GCDS besteht darin, dass GCDS manuell mit einigen Binärdateien durchgeführt wird, die heruntergeladen und ausgeführt werden müssen, während Admin Directory Sync serverlos von Google in https://admin.google.com/ac/sync/externaldirectories verwaltet wird.
Zum Zeitpunkt des Schreibens ist dieser Dienst in der Beta-Phase und unterstützt 2 Arten der Synchronisierung: Von Active Directory und von Azure Entra ID:
Active Directory: Um dies einzurichten, musst du Google Zugriff auf deine Active Directory-Umgebung gewähren. Da Google nur Zugriff auf GCP-Netzwerke (über VPC-Connectoren) hat, musst du einen Connector erstellen und dann dein AD über diesen Connector verfügbar machen, indem du es in VMs im GCP-Netzwerk hast oder Cloud VPN oder Cloud Interconnect verwendest. Dann musst du auch Anmeldeinformationen eines Kontos mit Lesezugriff auf das Verzeichnis und ein Zertifikat bereitstellen, um über LDAPS zu kommunizieren.
Azure Entra ID: Um dies zu konfigurieren, ist es nur erforderlich, sich mit einem Benutzer mit Lesezugriff über das Entra ID-Abonnement in einem von Google angezeigten Pop-up bei Azure anzumelden, und Google wird das Token mit Lesezugriff über Entra ID speichern.
Sobald korrekt konfiguriert, ermöglichen beide Optionen die Synchronisierung von Benutzern und Gruppen mit Workspace, jedoch nicht die Konfiguration von Benutzern und Gruppen von Workspace zu AD oder EntraID.
Weitere Optionen, die während dieser Synchronisierung erlaubt sind:
Sende eine E-Mail an die neuen Benutzer, um sich anzumelden
Ändere automatisch ihre E-Mail-Adresse auf die von Workspace verwendete. Wenn Workspace also @hacktricks.xyz
verwendet und EntraID-Benutzer @carloshacktricks.onmicrosoft.com
verwenden, wird @hacktricks.xyz
für die im Konto erstellten Benutzer verwendet.
Wähle die Gruppen aus, die die Benutzer enthalten, die synchronisiert werden sollen.
Wähle Gruppen zur Synchronisierung und Erstellung in Workspace aus (oder gib an, alle Gruppen zu synchronisieren).
Wenn es dir gelingt, ein AD oder EntraID zu kompromittieren, hast du die volle Kontrolle über die Benutzer & Gruppen, die mit Google Workspace synchronisiert werden. Beachte jedoch, dass die Passwörter, die die Benutzer möglicherweise in Workspace verwenden, die gleichen sein könnten oder nicht.
Wenn die Synchronisierung erfolgt, kann sie alle Benutzer aus AD oder nur die aus einer bestimmten OU oder nur die Benutzer, die Mitglieder bestimmter Gruppen in EntraID sind, synchronisieren. Das bedeutet, dass du, um einen synchronisierten Benutzer anzugreifen (oder einen neuen zu erstellen, der synchronisiert wird), zuerst herausfinden musst, welche Benutzer synchronisiert werden.
Benutzer könnten das Passwort von AD oder EntraID wiederverwenden oder nicht, aber das bedeutet, dass du die Passwörter der Benutzer kompromittieren musst, um dich anzumelden.
Wenn du Zugriff auf die E-Mails der Benutzer hast, könntest du das Workspace-Passwort eines bestehenden Benutzers ändern oder einen neuen Benutzer erstellen, warten, bis er synchronisiert wird, und das Konto einrichten.
Sobald du auf den Benutzer in Workspace zugreifst, könnten ihm einige Berechtigungen standardmäßig gewährt werden.
Du musst auch zuerst herausfinden, welche Gruppen synchronisiert werden. Obwohl die Möglichkeit besteht, dass ALLE Gruppen synchronisiert werden (da Workspace dies zulässt).
Beachte, dass selbst wenn die Gruppen und Mitgliedschaften in Workspace importiert werden, die Benutzer, die nicht in der Benutzersynchronisierung synchronisiert werden, nicht erstellt werden während der Gruppensynchronisierung, selbst wenn sie Mitglieder einer der synchronisierten Gruppen sind.
Wenn du weißt, welche Gruppen aus Azure Berechtigungen in Workspace oder GCP zugewiesen bekommen, könntest du einfach einen kompromittierten Benutzer (oder neu erstellten) in diese Gruppe hinzufügen und diese Berechtigungen erhalten.
Es gibt eine weitere Möglichkeit, bestehende privilegierte Gruppen in Workspace auszunutzen. Zum Beispiel hat die Gruppe gcp-organization-admins@<workspace.email>
normalerweise hohe Berechtigungen über GCP.
Wenn die Synchronisierung von beispielsweise EntraID zu Workspace so konfiguriert ist, dass die Domain des importierten Objekts mit der E-Mail von Workspace ersetzt wird, wird es einem Angreifer möglich sein, die Gruppe gcp-organization-admins@<entraid.email>
in EntraID zu erstellen, einen Benutzer in dieser Gruppe hinzuzufügen und zu warten, bis die Synchronisierung aller Gruppen erfolgt.
Der Benutzer wird in die Gruppe gcp-organization-admins@<workspace.email>
hinzugefügt, wodurch die Berechtigungen in GCP eskaliert werden.
Beachte, dass Workspace Anmeldeinformationen mit nur Lesezugriff auf AD oder EntraID benötigt, um Benutzer und Gruppen zu synchronisieren. Daher ist es nicht möglich, Google Workspace auszunutzen, um Änderungen in AD oder EntraID vorzunehmen. Das ist momentan nicht möglich.
Ich weiß auch nicht, wo Google die AD-Anmeldeinformationen oder das EntraID-Token speichert, und du kannst sie nicht wiederherstellen, indem du die Synchronisierung neu konfigurierst (sie erscheinen nicht im Webformular, du musst sie erneut angeben). Es könnte jedoch möglich sein, die aktuelle Funktionalität über das Web auszunutzen, um Benutzer und Gruppen aufzulisten.
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)