GWS - Admin Directory Sync
PreviousGWS - Workspace Sync Attacks (GCPW, GCDS, GPS, Directory Sync with AD & EntraID)NextGCDS - Google Cloud Directory Sync
Last updated
Last updated
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
GCDS ile kullanıcıları senkronize etmenin bu yolunun ana farkı, GCDS'nin bazı ikili dosyaları indirip çalıştırarak manuel olarak yapılmasıdır, oysa Admin Directory Sync sunucusuz olarak Google tarafından yönetilmektedir https://admin.google.com/ac/sync/externaldirectories.
Bu yazının yazıldığı anda bu hizmet beta aşamasındadır ve 2 tür senkronizasyonu desteklemektedir: Active Directory ve Azure Entra ID'den:
Active Directory: Bunu ayarlamak için Google'a Active Directory ortamınıza erişim vermeniz gerekir. Google yalnızca GCP ağlarına (VPC bağlantıları aracılığıyla) erişim sağladığı için bir bağlantı oluşturmanız ve ardından AD'nizi bu bağlantıdan erişilebilir hale getirmeniz gerekir; bunu GCP ağındaki VM'lerde bulundurarak veya Cloud VPN veya Cloud Interconnect kullanarak yapabilirsiniz. Ardından, dizin üzerinde okuma erişimi olan bir hesabın kimlik bilgilerini ve LDAPS üzerinden iletişim kurmak için bir sertifika sağlamanız gerekir.
Azure Entra ID: Bunu yapılandırmak için, Google tarafından gösterilen bir pop-up'ta Entra ID aboneliği üzerinde okuma erişimi olan bir kullanıcı ile Azure'a giriş yapmanız yeterlidir ve Google, Entra ID üzerinde okuma erişimi olan token'ı saklayacaktır.
Doğru bir şekilde yapılandırıldığında, her iki seçenek de kullanıcıları ve grupları Workspace'e senkronize etmeye olanak tanıyacaktır, ancak Workspace'ten AD veya EntraID'ye kullanıcı ve grupları yapılandırmaya izin vermeyecektir.
Bu senkronizasyon sırasında izin verilen diğer seçenekler şunlardır:
Yeni kullanıcılara giriş yapmaları için bir e-posta gönderin
E-posta adreslerini Workspace tarafından kullanılan adresle otomatik olarak değiştirin. Yani, eğer Workspace @hacktricks.xyz kullanıyorsa ve EntraID kullanıcıları @carloshacktricks.onmicrosoft.com kullanıyorsa, @hacktricks.xyz hesapta oluşturulan kullanıcılar için kullanılacaktır.
Senkronize edilecek kullanıcıları içeren grupları seçin.
Senkronize edilecek ve Workspace'te oluşturulacak grupları seçin (veya tüm grupları senkronize etmek için belirtin).
Eğer bir AD veya EntraID'yi ele geçirmeyi başarırsanız, Google Workspace ile senkronize edilecek kullanıcılar ve gruplar üzerinde tam kontrol sahibi olursunuz. Ancak, kullanıcıların Workspace'te kullanıyor olabileceği şifrelerin aynı olabileceğini veya olmayabileceğini unutmayın.
Senkronizasyon gerçekleştiğinde, AD'den tüm kullanıcıları veya yalnızca belirli bir OU'dan olanları veya yalnızca EntraID'deki belirli grupların üyelerini senkronize edebilir. Bu, senkronize edilmiş bir kullanıcıya saldırmak (veya senkronize edilen yeni bir kullanıcı oluşturmak) için önce hangi kullanıcıların senkronize edildiğini belirlemeniz gerektiği anlamına gelir.
Kullanıcılar AD veya EntraID'den şifrelerini yeniden kullanıyor olabilir, ancak bu, giriş yapmak için kullanıcıların şifrelerini ele geçirmeniz gerektiği anlamına gelir.
Eğer kullanıcıların maillerine erişiminiz varsa, mevcut bir kullanıcının Workspace şifresini değiştirebilir veya yeni bir kullanıcı oluşturabilir, senkronize edilene kadar bekleyebilir ve hesabı ayarlayabilirsiniz.
Workspace içinde kullanıcıya eriştiğinizde, varsayılan olarak bazı izinler verilebilir.
Öncelikle hangi grupların senkronize edildiğini belirlemeniz gerekir. TÜM grupların senkronize edilme olasılığı vardır (çünkü Workspace bunu sağlar).
Gruplar ve üyelikler Workspace'e aktarılsa bile, kullanıcı senkronizasyonunda senkronize edilmeyen kullanıcılar gruplar senkronizasyonu sırasında oluşturulmayacaktır, hatta senkronize edilen gruplardan herhangi birinin üyesi olsalar bile.
Azure'dan hangi grupların Workspace veya GCP'de izinler atandığını biliyorsanız, sadece ele geçirilmiş (veya yeni oluşturulmuş) bir kullanıcıyı o gruba ekleyebilir ve bu izinleri alabilirsiniz.
Workspace'teki mevcut ayrıcalıklı grupları kötüye kullanmanın başka bir yolu vardır. Örneğin, gcp-organization-admins@<workspace.email> grubu genellikle GCP üzerinde yüksek ayrıcalıklara sahiptir.
Eğer EntraID'den Workspace'e senkronizasyon, ithal edilen nesnenin alanını Workspace'in e-postası ile değiştirecek şekilde yapılandırılmışsa, bir saldırganın EntraID'de gcp-organization-admins@<entraid.email> grubunu oluşturması, bu gruba bir kullanıcı eklemesi ve tüm grupların senkronizasyonunu beklemesi mümkün olacaktır.
Kullanıcı, gcp-organization-admins@<workspace.email> grubuna eklenerek GCP'de ayrıcalıkları artıracaktır.
Workspace'in kullanıcıları ve grupları senkronize etmek için AD veya EntraID üzerinde yalnızca okuma erişimi olan kimlik bilgilerine ihtiyaç duyduğunu unutmayın. Bu nedenle, Google Workspace'i AD veya EntraID'de herhangi bir değişiklik yapmak için kötüye kullanmak mümkün değildir. Yani, bu şu anda mümkün değildir.
Google'ın AD kimlik bilgilerini veya EntraID token'ını nerede sakladığını da bilmiyorum ve senkronizasyonu yeniden yapılandırarak bunları geri alamazsınız (web formunda görünmezler, tekrar vermeniz gerekir). Ancak, web üzerinden mevcut işlevselliği kullanıcıları ve grupları listelemek için kötüye kullanmak mümkün olabilir.
AWS Hacking öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
