GWS - Admin Directory Sync
PreviousGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)NextGCDS - Google Cloud Directory Sync
Last updated
Last updated
Learn & practice AWS Hacking: Learn & practice GCP Hacking:
Tofauti kuu kati ya njia hii ya kuunganisha watumiaji na GCDS ni kwamba GCDS inafanywa kwa mikono kwa kutumia binaries ambazo unahitaji kupakua na kuendesha wakati Admin Directory Sync haina seva inasimamiwa na Google katika .
Wakati wa kuandika, huduma hii iko kwenye beta na inasaidia aina 2 za usawazishaji: Kutoka Active Directory na kutoka Azure Entra ID:
Active Directory: Ili kuweka hii, unahitaji kutoa ufikiaji kwa Google kwa mazingira yako ya Active Directory. Na kwa kuwa Google ina ufikiaji tu kwa mitandao ya GCP (kupitia VPC connectors) unahitaji kuunda kiunganishi na kisha kufanya AD yako ipatikane kutoka kwa kiunganishi hicho kwa kuwa na VMs katika mtandao wa GCP au kutumia Cloud VPN au Cloud Interconnect. Kisha, unahitaji pia kutoa akili ya akaunti yenye ufikiaji wa kusoma juu ya directory na cheti ili kuwasiliana kupitia LDAPS.
Azure Entra ID: Ili kuunda hii inahitajika tu kuingia katika Azure na mtumiaji mwenye ufikiaji wa kusoma juu ya usajili wa Entra ID katika pop-up inayonyeshwa na Google, na Google itahifadhi token yenye ufikiaji wa kusoma juu ya Entra ID.
Mara tu ikikamilishwa vizuri, chaguo zote mbili zitawawezesha kusawazisha watumiaji na vikundi kwa Workspace, lakini haitaruhusu kuunda watumiaji na vikundi kutoka Workspace hadi AD au EntraID.
Chaguzi nyingine ambazo zitapatikana wakati wa usawazishaji huu ni:
Tuma barua pepe kwa watumiaji wapya kuingia
Kubadilisha moja kwa moja anwani yao ya barua pepe kuwa ile inayotumika na Workspace. Hivyo kama Workspace inatumia @hacktricks.xyz na watumiaji wa EntraID wanatumia @carloshacktricks.onmicrosoft.com, @hacktricks.xyz itatumika kwa watumiaji walioundwa katika akaunti hiyo.
Chagua vikundi vinavyowajumuisha watumiaji ambao watasawazishwa.
Chagua vikundi vya kusawazisha na kuunda katika Workspace (au onyesha kusawazisha vikundi vyote).
Ikiwa unafanikiwa kuathiri AD au EntraID utakuwa na udhibiti kamili wa watumiaji & vikundi ambavyo vitasawazishwa na Google Workspace. Hata hivyo, zingatia kwamba nywila ambazo watumiaji wanaweza kuwa wanatumia katika Workspace zinaweza kuwa sawa au la.
Wakati usawazishaji unapotokea inaweza kusawazisha watumiaji wote kutoka AD au wale tu kutoka OU maalum au tu watumiaji wanachama wa vikundi maalum katika EntraID. Hii inamaanisha kwamba ili kushambulia mtumiaji aliyeunganishwa (au kuunda mpya anayesawazishwa) itabidi kwanza uelewe ni watumiaji gani wanaosawazishwa.
Watumiaji wanaweza kuwa wanatumia nywila sawa au la kutoka AD au EntraID, lakini hii inamaanisha kwamba itabidi uathiri nywila za watumiaji kuingia.
Ikiwa una ufikiaji wa barua pepe za watumiaji, unaweza kubadilisha nywila ya Workspace ya mtumiaji aliyepo, au kuunda mtumiaji mpya, subiri hadi ipate usawazishaji na kuanzisha akaunti hiyo.
Mara tu unapofikia mtumiaji ndani ya Workspace inaweza kutolewa baadhi ya idhini za default.
Unahitaji pia kuelewa kwanza ni vikundi gani vinavyosawazishwa. Ingawa kuna uwezekano kwamba VIKUNDI VYOTE vinavyosawazishwa (kama Workspace inaruhusu hili).
Kumbuka kwamba hata kama vikundi na uanachama vinapoingizwa katika Workspace, watumiaji ambao hawajasawazishwa katika usawazishaji wa watumiaji hawataundwa wakati wa usawazishaji wa vikundi hata kama ni wanachama wa mojawapo ya vikundi vilivyosawazishwa.
Ikiwa unajua ni vikundi vipi kutoka Azure vinavyopatiwa idhini katika Workspace au GCP, unaweza tu kuongeza mtumiaji aliyeathiriwa (au aliyeundwa hivi karibuni) katika kikundi hicho na kupata hizo idhini.
Kuna chaguo lingine la kutumia vikundi vilivyokuwa na mamlaka katika Workspace. Kwa mfano, kikundi gcp-organization-admins@<workspace.email> kawaida kina mamlaka makubwa juu ya GCP.
Ikiwa usawazishaji kutoka, kwa mfano EntraID, hadi Workspace ume pangwa kubadilisha domain ya kitu kilichooingizwakatika na barua pepe ya Workspace, itakuwa inawezekana kwa mshambuliaji kuunda kikundi gcp-organization-admins@<entraid.email> katika EntraID, kuongeza mtumiaji katika kikundi hiki, na kusubiri hadi usawazishaji wa vikundi vyote ufanyike.
Mtumiaji ataongezwa katika kikundi gcp-organization-admins@<workspace.email> akipandisha mamlaka katika GCP.
Kumbuka kwamba Workspace inahitaji akili zenye ufikiaji wa kusoma tu juu ya AD au EntraID ili kusawazisha watumiaji na vikundi. Kwa hivyo, haiwezekani kutumia Google Workspace kufanya mabadiliko yoyote katika AD au EntraID. Hivyo hii haiwezekani kwa wakati huu.
Sijui pia Google inahifadhi wapi akili za AD au token ya EntraID na huwezi kuziokoa kwa kuunda upya usawazishaji (hazionekani katika fomu ya wavuti, unahitaji kuzipatia tena). Hata hivyo, kutoka kwenye wavuti inaweza kuwa inawezekana kutumia kazi ya sasa ili kuorodhesha watumiaji na vikundi.
Learn & practice AWS Hacking: Learn & practice GCP Hacking:
Check the !
Join the 💬 or the or follow us on Twitter 🐦 .
Share hacking tricks by submitting PRs to the and github repos.
