GWS - Admin Directory Sync
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
这种与 GCDS 同步用户的方式的主要区别在于,GCDS 是通过一些需要下载和运行的二进制文件手动完成的,而 管理目录同步是无服务器的,由 Google 在 https://admin.google.com/ac/sync/externaldirectories 管理。
在撰写本文时,该服务处于测试阶段,支持两种类型的同步:来自 Active Directory 和 Azure Entra ID:
Active Directory: 要设置此功能,您需要授予 Google 访问您的 Active Directory 环境。由于 Google 仅能访问 GCP 网络(通过 VPC 连接器),您需要创建一个连接器,然后通过在 GCP 网络中的虚拟机或使用 Cloud VPN 或 Cloud Interconnect,使您的 AD 可用。然后,您还需要提供具有读取目录权限的帐户的 凭据 和 证书 以通过 LDAPS 进行联系。
Azure Entra ID: 配置此功能只需在 Google 显示的弹出窗口中使用具有读取权限的用户登录 Azure,Google 将保留对 Entra ID 的读取权限的令牌。
一旦正确配置,这两种选项都将允许将用户和组同步到 Workspace,但不允许从 Workspace 配置用户和组到 AD 或 EntraID。
在此同步过程中,它还将允许其他选项:
向新用户发送电子邮件以登录
自动将他们的电子邮件地址更改为 Workspace 使用的地址。因此,如果 Workspace 使用 @hacktricks.xyz
,而 EntraID 用户使用 @carloshacktricks.onmicrosoft.com
,则为在帐户中创建的用户将使用 @hacktricks.xyz
。
选择包含将被同步的用户的组。
选择要在 Workspace 中同步和创建的组(或指示同步所有组)。
如果您成功攻陷 AD 或 EntraID,您将完全控制将与 Google Workspace 同步的用户和组。 但是,请注意,用户在 Workspace 中可能使用的 密码 可能是相同的,也可能不同。
当同步发生时,它可能会同步 来自 AD 的所有用户或仅来自特定 OU 的用户,或仅 EntraID 中特定组的成员用户。这意味着要攻击一个已同步的用户(或创建一个新的被同步的用户),您需要首先弄清楚哪些用户正在被同步。
用户可能在 AD 或 EntraID 中重用密码,也可能不重用,但这意味着您需要攻陷用户的密码以登录。
如果您可以访问用户的 邮件,您可以更改现有用户的 Workspace 密码,或创建一个新用户,等待其被同步并设置帐户。
一旦您访问了 Workspace 中的用户,可能会默认授予一些 权限。
您还需要首先弄清楚哪些组正在被同步。尽管有可能 所有 组都在被同步(因为 Workspace 允许这样做)。
请注意,即使组和成员资格被导入到 Workspace,在用户同步中未同步的用户在组同步期间也不会被创建,即使他们是任何同步组的成员。
如果您知道哪些来自 Azure 的组在 Workspace 或 GCP 中被分配权限,您可以将一个被攻陷的用户(或新创建的用户)添加到该组中,从而获得这些权限。
还有另一种方法可以滥用 Workspace 中现有的特权组。例如,组 gcp-organization-admins@<workspace.email>
通常在 GCP 中具有高权限。
如果从 EntraID 到 Workspace 的同步 配置为用 Workspace 的电子邮件替换导入对象的域,攻击者将能够在 EntraID 中创建组 gcp-organization-admins@<entraid.email>
,将用户添加到该组,并等待所有组的同步发生。
该用户将被添加到组 gcp-organization-admins@<workspace.email>
中,从而在 GCP 中提升权限。
请注意,Workspace 需要具有对 AD 或 EntraID 的只读访问权限的凭据以同步用户和组。因此,目前无法滥用 Google Workspace 对 AD 或 EntraID 进行任何更改。因此,这在此时是不可能的。
我也不知道 Google 将 AD 凭据或 EntraID 令牌存储在哪里,您无法通过重新配置同步来恢复它们(它们不会出现在网页表单中,您需要再次提供)。但是,从网页上可能可以滥用当前功能来列出用户和组。
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)