GWS - Admin Directory Sync
PreviousGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)NextGCDS - Google Cloud Directory Sync
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Η κύρια διαφορά μεταξύ αυτού του τρόπου συγχρονισμού χρηστών με το GCDS είναι ότι το GCDS γίνεται χειροκίνητα με κάποια binaries που πρέπει να κατεβάσετε και να εκτελέσετε, ενώ ο συγχρονισμός του Admin Directory είναι serverless και διαχειρίζεται από την Google στο https://admin.google.com/ac/sync/externaldirectories.
Αυτή τη στιγμή που γράφεται αυτό το κείμενο, αυτή η υπηρεσία είναι σε beta και υποστηρίζει 2 τύπους συγχρονισμού: Από Active Directory και από Azure Entra ID:
Active Directory: Για να το ρυθμίσετε αυτό, πρέπει να δώσετε πρόσβαση στην Google στο περιβάλλον Active Directory σας. Και καθώς η Google έχει πρόσβαση μόνο σε δίκτυα GCP (μέσω VPC connectors), πρέπει να δημιουργήσετε έναν σύνδεσμο και στη συνέχεια να κάνετε το AD σας διαθέσιμο από αυτόν τον σύνδεσμο, έχοντας το σε VMs στο δίκτυο GCP ή χρησιμοποιώντας Cloud VPN ή Cloud Interconnect. Στη συνέχεια, πρέπει επίσης να παρέχετε διαπιστευτήρια ενός λογαριασμού με δικαιώματα ανάγνωσης στο κατάλογο και πιστοποιητικό για επικοινωνία μέσω LDAPS.
Azure Entra ID: Για να το ρυθμίσετε αυτό, χρειάζεται απλώς να συνδεθείτε στο Azure με έναν χρήστη με δικαιώματα ανάγνωσης πάνω στη συνδρομή Entra ID σε ένα αναδυόμενο παράθυρο που εμφανίζεται από την Google, και η Google θα κρατήσει το token με δικαιώματα ανάγνωσης πάνω στο Entra ID.
Μόλις ρυθμιστεί σωστά, και οι δύο επιλογές θα επιτρέψουν να συγχρονιστούν οι χρήστες και οι ομάδες στο Workspace, αλλά δεν θα επιτρέψουν να ρυθμιστούν οι χρήστες και οι ομάδες από το Workspace στο AD ή EntraID.
Άλλες επιλογές που θα επιτρέψει κατά τη διάρκεια αυτού του συγχρονισμού είναι:
Αποστολή email στους νέους χρήστες για να συνδεθούν
Αυτόματη αλλαγή της διεύθυνσης email τους σε αυτή που χρησιμοποιείται από το Workspace. Έτσι, αν το Workspace χρησιμοποιεί @hacktricks.xyz και οι χρήστες EntraID χρησιμοποιούν @carloshacktricks.onmicrosoft.com, το @hacktricks.xyz θα χρησιμοποιηθεί για τους χρήστες που δημιουργούνται στον λογαριασμό.
Επιλογή των ομάδων που περιέχουν τους χρήστες που θα συγχρονιστούν.
Επιλογή ομάδων για συγχρονισμό και δημιουργία στο Workspace (ή ένδειξη για συγχρονισμό όλων των ομάδων).
Αν καταφέρετε να συμβιβάσετε ένα AD ή EntraID, θα έχετε πλήρη έλεγχο των χρηστών και των ομάδων που θα συγχρονιστούν με το Google Workspace. Ωστόσο, σημειώστε ότι οι κωδικοί πρόσβασης που μπορεί να χρησιμοποιούν οι χρήστες στο Workspace μπορεί να είναι οι ίδιοι ή όχι.
Όταν συμβαίνει ο συγχρονισμός, μπορεί να συγχρονίσει όλους τους χρήστες από το AD ή μόνο αυτούς από μια συγκεκριμένη OU ή μόνο τους χρήστες μέλη συγκεκριμένων ομάδων στο EntraID. Αυτό σημαίνει ότι για να επιτεθείτε σε έναν συγχρονισμένο χρήστη (ή να δημιουργήσετε έναν νέο που θα συγχρονιστεί), θα χρειαστεί πρώτα να καταλάβετε ποιοι χρήστες συγχρονίζονται.
Οι χρήστες μπορεί να ξαναχρησιμοποιούν τον κωδικό πρόσβασης ή όχι από το AD ή EntraID, αλλά αυτό σημαίνει ότι θα χρειαστεί να συμβιβάσετε τους κωδικούς πρόσβασης των χρηστών για να συνδεθείτε.
Αν έχετε πρόσβαση στα emails των χρηστών, θα μπορούσατε να αλλάξετε τον κωδικό πρόσβασης του Workspace ενός υπάρχοντος χρήστη, ή να δημιουργήσετε έναν νέο χρήστη, να περιμένετε μέχρι να συγχρονιστεί και να ρυθμίσετε τον λογαριασμό.
Μόλις αποκτήσετε πρόσβαση στον χρήστη μέσα στο Workspace, μπορεί να του έχουν δοθεί κάποιες άδειες από προεπιλογή.
Πρέπει επίσης να καταλάβετε πρώτα ποιες ομάδες συγχρονίζονται. Αν και υπάρχει η πιθανότητα ότι ΟΛΕΣ οι ομάδες συγχρονίζονται (καθώς το Workspace το επιτρέπει).
Σημειώστε ότι ακόμη και αν οι ομάδες και οι συμμετοχές εισάγονται στο Workspace, οι χρήστες που δεν συγχρονίζονται στη συγχρονισμό χρηστών δεν θα δημιουργηθούν κατά τη διάρκεια του συγχρονισμού ομάδων, ακόμη και αν είναι μέλη οποιασδήποτε από τις ομάδες που συγχρονίζονται.
Αν γνωρίζετε ποιες ομάδες από το Azure έχουν ανατεθεί άδειες στο Workspace ή GCP, θα μπορούσατε απλώς να προσθέσετε έναν συμβιβασμένο χρήστη (ή νέο) σε αυτήν την ομάδα και να αποκτήσετε αυτές τις άδειες.
Υπάρχει μια άλλη επιλογή για να καταχραστείτε υπάρχουσες προνομιούχες ομάδες στο Workspace. Για παράδειγμα, η ομάδα gcp-organization-admins@<workspace.email> συνήθως έχει υψηλά προνόμια πάνω στο GCP.
Αν ο συγχρονισμός από, για παράδειγμα, το EntraID, στο Workspace είναι ρυθμισμένος να αντικαθιστά το domain του εισαγόμενου αντικειμένου με το email του Workspace, θα είναι δυνατό για έναν επιτιθέμενο να δημιουργήσει την ομάδα gcp-organization-admins@<entraid.email> στο EntraID, να προσθέσει έναν χρήστη σε αυτήν την ομάδα και να περιμένει μέχρι να συμβεί ο συγχρονισμός όλων των ομάδων.
Ο χρήστης θα προστεθεί στην ομάδα gcp-organization-admins@<workspace.email> κλιμακώνοντας τα προνόμια στο GCP.
Σημειώστε ότι το Workspace απαιτεί διαπιστευτήρια με πρόσβαση μόνο για ανάγνωση στο AD ή EntraID για να συγχρονίσει χρήστες και ομάδες. Επομένως, δεν είναι δυνατό να καταχραστείτε το Google Workspace για να κάνετε οποιαδήποτε αλλαγή στο AD ή EntraID. Έτσι, αυτό δεν είναι δυνατό αυτή τη στιγμή.
Δεν γνωρίζω επίσης πού αποθηκεύει η Google τα διαπιστευτήρια AD ή το token EntraID και δεν μπορείτε να τα ανακτήσετε επαναρυθμίζοντας τον συγχρονισμό (δεν εμφανίζονται στη διαδικτυακή φόρμα, πρέπει να τα δώσετε ξανά). Ωστόσο, από το διαδίκτυο μπορεί να είναι δυνατό να καταχραστείτε τη τρέχουσα λειτουργικότητα για λίστα χρηστών και ομάδων.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
