GCP - IAM, Principals & Org Unauthenticated Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Iam & GCP Principals

For more information check:

GCP - IAM, Principals & Org Policies Enum

Workspaceで使用されているドメインは？

DNSレコードを確認する

google-site-verification レコードがある場合、Workspaceを使用している（または使用していた）可能性があります：

dig txt hacktricks.xyz

[...]
hacktricks.xyz.		3600	IN	TXT	"google-site-verification=2mWyPXMPXEEy6QqWbCfWkxFTcQhyYdwHrOxee1Yeo-0"
hacktricks.xyz.		3600	IN	TXT	"google-site-verification=C19PtLcZ1EGyzUYYJTX1Tp6bOGessxzN9gqE-SVKhRA"
hacktricks.xyz.		300	IN	TXT	"v=spf1 include:usb._netblocks.mimecast.com include:_spf.google.com include:_spf.psm.knowbe4.com include:_spf.salesforce.com include:spf.mandrillapp.com ~all"

If something like include:_spf.google.com も表示される場合、それを確認します（表示されない場合でも、ドメインがWorkspaceに存在するが、gmailをメールプロバイダーとして使用していない可能性があるため、否定するものではありません）。

そのドメインでWorkspaceを設定してみる

別のオプションは、そのドメインを使用してWorkspaceを設定してみることです。もしドメインがすでに使用されていると文句を言う場合（画像のように）、それはすでに使用されていることがわかります！

Workspaceドメインを設定するには、次のリンクに従ってください: https://workspace.google.com/business/signup/welcome

そのドメインを使用してメールのパスワードを回復してみる

そのドメインで使用されている有効なメールアドレス（例: admin@email.com または info@email.com）を知っている場合、https://accounts.google.com/signin/v2/recoveryidentifierでアカウントを回復しようとすることができます。もし試みがGoogleがそのアカウントについて何も知らないというエラーを表示しない場合、それはWorkspaceを使用しています。

メールとサービスアカウントを列挙する

Workspaceドメインの有効なメールとSAメールを列挙することは、権限を割り当てようとしてエラーメッセージを確認することで可能です。これには、プロジェクトに権限を割り当てる権限を持っている必要があります（それはあなたが所有しているものである可能性があります）。

存在を確認するために、権限を付与しない場合でも、**serviceAccountのタイプを使用することができます。これはuserの場合とSA**の場合です：

# Try to assign permissions to user 'unvalid-email-34r434f@hacktricks.xyz'
# but indicating it's a service account
gcloud projects add-iam-policy-binding <project-controlled-by-you> \
--member='serviceAccount:unvalid-email-34r434f@hacktricks.xyz' \
--role='roles/viewer'
## Response:
ERROR: (gcloud.projects.add-iam-policy-binding) INVALID_ARGUMENT: User unvalid-email-34r434f@hacktricks.xyz does not exist.

# Now try with a valid email
gcloud projects add-iam-policy-binding <project-controlled-by-you> \
--member='serviceAccount:support@hacktricks.xyz' \
--role='roles/viewer'
# Response:
ERROR: (gcloud.projects.add-iam-policy-binding) INVALID_ARGUMENT: Principal support@hacktricks.xyz is of type "user". The principal should appear as "user:support@hacktricks.xyz". See https://cloud.google.com/iam/help/members/types for additional documentation.

サービスアカウントを既知のプロジェクトで列挙するためのより速い方法は、URLにアクセスしようとすることです: https://iam.googleapis.com/v1/projects/<project-id>/serviceAccounts/<sa-email> 例えば: https://iam.googleapis.com/v1/projects/gcp-labs-3uis1xlx/serviceAccounts/appengine-lab-1-tarsget@gcp-labs-3uis1xlx.iam.gserviceaccount.com

レスポンスが403の場合、SAは存在します。しかし、レスポンスが404の場合、それは存在しないことを意味します:

// Exists
{
"error": {
"code": 403,
"message": "Method doesn't allow unregistered callers (callers without established identity). Please use API Key or other form of API consumer identity to call this API.",
"status": "PERMISSION_DENIED"
}
}

// Doesn't exist
{
"error": {
"code": 404,
"message": "Unknown service account",
"status": "NOT_FOUND"
}
}

ユーザーのメールが有効な場合、エラーメッセージがタイプが無効であることを示していることに注意してください。これにより、メール support@hacktricks.xyz が存在することを特権を付与することなく発見することができました。

サービスアカウントでも同様のことができます。タイプ serviceAccount: の代わりに user: を使用します：

# Non existent
gcloud projects add-iam-policy-binding <project-controlled-by-you> \
--member='serviceAccount:<invalid-sa-name>@<proj-uniq-name>.iam.gserviceaccount.com' \
--role='roles/viewer'
# Response
ERROR: (gcloud.projects.add-iam-policy-binding) INVALID_ARGUMENT: User <invalid-sa-name>@<proj-uniq-name>.iam.gserviceaccount.com does not exist.

# Existent
gcloud projects add-iam-policy-binding <project-controlled-by-you> \
--member='serviceAccount:<sa-name>@<proj-uniq-name>.iam.gserviceaccount.com' \
--role='roles/viewer'
# Response
ERROR: (gcloud.projects.add-iam-policy-binding) INVALID_ARGUMENT: Principal testing@digital-bonfire-410512.iam.gserviceaccount.com is of type "serviceAccount". The principal should appear as "serviceAccount:testing@digital-bonfire-410512.iam.gserviceaccount.com". See https://cloud.google.com/iam/help/members/types for additional documentation.

AWSハッキングを学び、実践する：HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する：HackTricks Training GCP Red Team Expert (GRTE)

HackTricksをサポートする

サブスクリプションプランを確認してください！
**💬 DiscordグループまたはTelegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してください。

PreviousGCP - Compute Unauthenticated Enum NextGCP - Source Repositories Unauthenticated Enum

Last updated 3 days ago