GCP - IAM, Principals & Org Unauthenticated Enum
Last updated
Last updated
Impara e pratica il Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni controlla:
GCP - IAM, Principals & Org Policies EnumControlla i record DNS
Se ha un record google-site-verification
è probabile che stia (o stava) utilizzando Workspace:
Se appare qualcosa come include:_spf.google.com
conferma ciò (nota che se non appare non lo nega poiché un dominio può essere in Workspace senza utilizzare Gmail come fornitore di posta).
Prova a configurare un Workspace con quel dominio
Un'altra opzione è provare a configurare un Workspace utilizzando il dominio; se si lamenta che il dominio è già in uso (come nell'immagine), sai che è già in uso!
Per provare a configurare un dominio Workspace segui: https://workspace.google.com/business/signup/welcome
Prova a recuperare la password di un'email utilizzando quel dominio
Se conosci un indirizzo email valido utilizzato in quel dominio (come: admin@email.com o info@email.com) puoi provare a recuperare l'account su https://accounts.google.com/signin/v2/recoveryidentifier, e se il tentativo non mostra un errore che indica che Google non ha idea di quell'account, allora sta utilizzando Workspace.
È possibile enumerare email valide di un dominio Workspace e email di SA provando ad assegnare loro permessi e controllando i messaggi di errore. Per questo è necessario avere permessi per assegnare permessi a un progetto (che può essere solo di tua proprietà).
Nota che per controllarli, ma anche se esistono, non concedere loro un permesso puoi usare il tipo serviceAccount
quando è un user
e user
quando è un SA
:
Un modo più veloce per enumerare gli Account di Servizio nei progetti noti è semplicemente provare ad accedere all'URL: https://iam.googleapis.com/v1/projects/<project-id>/serviceAccounts/<sa-email>
Ad esempio: https://iam.googleapis.com/v1/projects/gcp-labs-3uis1xlx/serviceAccounts/appengine-lab-1-tarsget@gcp-labs-3uis1xlx.iam.gserviceaccount.com
Se la risposta è un 403, significa che l'AS esiste. Ma se la risposta è un 404 significa che non esiste:
Nota come, quando l'email dell'utente era valida, il messaggio di errore indicava che il tipo non lo era, quindi siamo riusciti a scoprire che l'email support@hacktricks.xyz esiste senza concederle alcun privilegio.
Puoi fare lo stesso con gli Account di Servizio usando il tipo user:
invece di serviceAccount:
:
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)