GCP - IAM, Principals & Org Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
For more information check:
GCP - IAM, Principals & Org Policies EnumSprawdź rekordy DNS
Jeśli ma rekord google-site-verification
, prawdopodobnie używa (lub używała) Workspace:
Jeśli coś takiego jak include:_spf.google.com
również się pojawia, to to potwierdza (zauważ, że jeśli się nie pojawia, to nie zaprzecza, ponieważ domena może być w Workspace bez używania gmaila jako dostawcy poczty).
Spróbuj skonfigurować Workspace z tą domeną
Inną opcją jest spróbować skonfigurować Workspace używając tej domeny, jeśli zgłasza, że domena jest już używana (jak na obrazku), wiesz, że jest już używana!
Aby spróbować skonfigurować domenę Workspace, odwiedź: https://workspace.google.com/business/signup/welcome
Spróbuj odzyskać hasło do e-maila używając tej domeny
Jeśli znasz jakikolwiek ważny adres e-mail używany w tej domenie (np.: admin@email.com lub info@email.com), możesz spróbować odzyskać konto w https://accounts.google.com/signin/v2/recoveryidentifier, a jeśli próba nie wyświetli błędu wskazującego, że Google nie ma pojęcia o tym koncie, to korzysta z Workspace.
Możliwe jest enumerowanie ważnych e-maili domeny Workspace i e-maili SA poprzez próby przypisania im uprawnień i sprawdzanie komunikatów o błędach. W tym celu wystarczy mieć uprawnienia do przypisania uprawnień do projektu (który może być tylko w twojej własności).
Zauważ, że aby je sprawdzić, ale nawet jeśli istnieją, nie przyznawaj im uprawnienia, możesz użyć typu serviceAccount
gdy to jest user
i user
gdy to jest SA
:
Szybszym sposobem na enumerację kont serwisowych w znanych projektach jest po prostu próba dostępu do URL: https://iam.googleapis.com/v1/projects/<project-id>/serviceAccounts/<sa-email>
Na przykład: https://iam.googleapis.com/v1/projects/gcp-labs-3uis1xlx/serviceAccounts/appengine-lab-1-tarsget@gcp-labs-3uis1xlx.iam.gserviceaccount.com
Jeśli odpowiedź to 403, oznacza to, że SA istnieje. Ale jeśli odpowiedź to 404, oznacza to, że nie istnieje:
Zauważ, że gdy adres e-mail użytkownika był ważny, komunikat o błędzie wskazywał, że typ nie jest, więc udało nam się odkryć, że adres e-mail support@hacktricks.xyz istnieje, nie przyznając mu żadnych uprawnień.
Możesz zrobić to samo z Kontami Usług używając typu user:
zamiast serviceAccount:
:
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)