GCP - IAM, Principals & Org Unauthenticated Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Для отримання додаткової інформації перегляньте:
Перевірте DNS записи
Якщо є запис google-site-verification
, ймовірно, що він (або він був) використовується в Workspace:
Якщо щось на кшталт include:_spf.google.com
також з'являється, це підтверджує це (зауважте, що якщо це не з'являється, це не заперечує, оскільки домен може бути в Workspace без використання gmail як постачальника електронної пошти).
Спробуйте налаштувати Workspace з цим доменом
Ще один варіант - спробувати налаштувати Workspace, використовуючи домен, якщо він скаржиться, що домен вже використовується (як на зображенні), ви знаєте, що він вже використовується!
Щоб спробувати налаштувати домен Workspace, перейдіть за посиланням: https://workspace.google.com/business/signup/welcome
Спробуйте відновити пароль електронної пошти, використовуючи цей домен
Якщо ви знаєте будь-яку дійсну електронну адресу, що використовується в цьому домені (наприклад: admin@email.com або info@email.com), ви можете спробувати відновити обліковий запис на https://accounts.google.com/signin/v2/recoveryidentifier, і якщо спроба не показує помилку, що вказує на те, що Google не має уявлення про цей обліковий запис, тоді він використовує Workspace.
Можливо перерахувати дійсні електронні адреси домену Workspace та електронні адреси SA, намагаючись призначити їм дозволи та перевіряючи повідомлення про помилки. Для цього вам просто потрібно мати дозволи на призначення дозволів проекту (який може бути просто у вашій власності).
Зверніть увагу, що для перевірки їх, але навіть якщо вони існують, не надавайте їм дозволу, ви можете використовувати тип serviceAccount
, коли це user
, і user
, коли це SA
:
Швидший спосіб перерахувати облікові записи служб у відомих проектах - це просто спробувати отримати доступ до URL: https://iam.googleapis.com/v1/projects/<project-id>/serviceAccounts/<sa-email>
Наприклад: https://iam.googleapis.com/v1/projects/gcp-labs-3uis1xlx/serviceAccounts/appengine-lab-1-tarsget@gcp-labs-3uis1xlx.iam.gserviceaccount.com
Якщо відповідь - 403, це означає, що обліковий запис служби існує. Але якщо відповідь - 404, це означає, що його не існує:
Зверніть увагу, що коли електронна пошта користувача була дійсною, повідомлення про помилку вказувало, що тип не є дійсним, тому ми змогли виявити, що електронна пошта support@hacktricks.xyz існує, не надаючи їй жодних привілеїв.
Ви можете зробити те ж саме з обліковими записами служб за допомогою типу user:
замість serviceAccount:
:
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)