gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-26 20:54:14 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/workspace-security/gws-workspace-sync-

Browse Source
This commit is contained in:
Translator
2025-05-20 06:04:59 +00:00
parent 9c5a532e65
commit 13142dd593
1 changed files with 11 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files

22
src/pentesting-cloud/workspace-security/gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/gws-admin-directory-sync.md
View File

@@ -8,26 +8,26 @@
इस लेखन के समय यह सेवा बीटा में है और यह 2 प्रकार के समन्वय का समर्थन करती है: **Active Directory** से और **Azure Entra ID** से:
- **Active Directory:** इसे सेट करने के लिए आपको **Google को अपने Active Directory वातावरण तक पहुंच प्रदान करनी होगी**। और चूंकि Google केवल GCP नेटवर्क (द्वारा **VPC कनेक्टर्स**) तक पहुंच रखता है, आपको एक कनेक्टर बनाना होगा और फिर उस कनेक्टर से अपने AD को उपलब्ध कराना होगा, या तो GCP नेटवर्क में VMs में या Cloud VPN या Cloud Interconnect का उपयोग करके। फिर, आपको **पढ़ने की पहुंच** वाले खाते के **क्रेडेंशियल्स** और **सर्टिफिकेट** प्रदान करने की आवश्यकता होगी ताकि **LDAPS** के माध्यम से संपर्क किया जा सके।
- **Azure Entra ID:** इसे कॉन्फ़िगर करने के लिए बस **Azure में एक उपयोगकर्ता के साथ लॉगिन करना आवश्यक है** जिसके पास Entra ID सब्सक्रिप्शन पर पढ़ने की पहुंच है, जो Google द्वारा प्रदर्शित एक पॉप-अप में होगा, और Google Entra ID पर पढ़ने की पहुंच के साथ टोकन रखेगा।
- **Active Directory:** इसे सेट करने के लिए आपको **Google को अपने Active Directory वातावरण तक पहुंच प्रदान करनी होगी**। और चूंकि Google केवल GCP नेटवर्क (द्वारा **VPC कनेक्टर्स**) तक पहुंच रखता है, आपको एक कनेक्टर बनाना होगा और फिर उस कनेक्टर से अपने AD को उपलब्ध कराना होगा, या तो GCP नेटवर्क में VMs में रखकर या Cloud VPN या Cloud Interconnect का उपयोग करके। फिर, आपको **पढ़ने की पहुंच वाले खाते के प्रमाणपत्र** और **सर्टिफिकेट** प्रदान करने की आवश्यकता होगी ताकि **LDAPS** के माध्यम से संपर्क किया जा सके।
- **Azure Entra ID:** इसे कॉन्फ़िगर करने के लिए बस **Azure में एक उपयोगकर्ता के साथ लॉगिन करना आवश्यक है जिसमें Entra ID सब्सक्रिप्शन पर पढ़ने की पहुंच ह** जो Google द्वारा प्रदर्शित पॉप-अप में ह, और Google Entra ID पर पढ़ने की पहुंच के साथ टोकन रखेगा।
एक बार सही तरीके से कॉन्फ़िगर होने के बाद, दोनों विकल्प **Workspace में उपयोगकर्ताओं और समूहों को समन्वयित करने** की अनुमति देंगे, लेकिन यह Workspace से AD या EntraID में उपयोगकर्ताओं और समूहों को कॉन्फ़िगर करने की अनुमति नहीं देगा।
इस समन्वय के दौरान यह अन्य विकल्पों की अनुमति देगा:
इस समन्वय के दौरान अन्य विकल्प जो यह अनुमति देगा:
- नए उपयोगकर्ताओं को लॉगिन करने के लिए एक ईमेल भेजें
- स्वचालित रूप से उनके ईमेल पते को Workspace द्वारा उपयोग किए जाने वाले पते में बदलें। इसलिए यदि Workspace `@hacktricks.xyz` का उपयोग कर रहा है और EntraID उपयोगकर्ता `@carloshacktricks.onmicrosoft.com` का उपयोग करे हैं, तो `@hacktricks.xyz` उन उपयोगकर्ताओं के लिए उपयोग किया जाएगा जो खाते में बनाए गए हैं।
- **उपयोगकर्ताओं को समन्वयित करने वाले समूहों** का चयन करें
- स्वचालित रूप से उनके ईमेल पते को Workspace द्वारा उपयोग किए जाने वाले पते में बदलें। इसलिए यदि Workspace `@hacktricks.xyz` का उपयोग कर रहा है और EntraID उपयोगकर्ता `@carloshacktricks.onmicrosoft.com` का उपयोग कर रहे हैं, तो `@hacktricks.xyz` उन उपयोगकर्ताओं के लिए उपयोग किया जाएगा जो खाते में बनाए गए हैं।
- उन **समूहों का चयन करें जिनमें उपयोगकर्ता** समन्वयित होंगे
- Workspace में समन्वयित और बनाने के लिए **समूहों** का चयन करें (या सभी समूहों को समन्वयित करने का संकेत दें)।
### From AD/EntraID -> Google Workspace (& GCP)
यदि आप AD या EntraID को समझौता करने में सफल होते हैं, तो आपके पास Google Workspace के साथ समन्वयित होने वाले उपयोगकर्ताओं और समूहों पर पूर्ण नियंत्रण होगा।\
हालांकि, ध्यान दें कि उपयोगकर्ता जो Workspace में उपयोग कर रहे हैं उनके **पासवर्ड** **एक समान हो सकते हैं या नहीं**
हालांकि, ध्यान दें कि उपयोगकर्ता जो Workspace में उपयोग कर रहे हैं उनके **पासवर्ड** **एक ही हो सकते हैं या नहीं**
#### Attacking users
जब समन्वय होता है, तो यह **AD से सभी उपयोगकर्ताओं को या केवल एक विशिष्ट OU से उपयोगकर्ताओं को** या केवल **EntraID में विशिष्ट समूहों के सदस्यों को** समन्वयित कर सकता है। इसका मतलब है कि एक समन्वयित उपयोगकर्ता पर हमला करने के लिए (या एक नया बनाने के लिए जो समन्वयित होता है) आपको पहले यह पता लगाना होगा कि कौन से उपयोगकर्ता समन्वयित हो रहे हैं।
जब समन्वय होता है, तो यह **AD से सभी उपयोगकर्ताओं को या केवल एक विशिष्ट OU से उपयोगकर्ताओं को** समन्वयित कर सकता है या केवल **EntraID में विशिष्ट समूहों के सदस्यों को**। इसका मतलब है कि एक समन्वयित उपयोगकर्ता पर हमला करने के लिए (या एक नया बनाने के लिए जो समन्वयित होता है) आपको पहले यह पता लगाना होगा कि कौन से उपयोगकर्ता समन्वयित हो रहे हैं।
- उपयोगकर्ता **AD या EntraID से पासवर्ड को फिर से उपयोग कर सकते हैं या नहीं**, लेकिन इसका मतलब है कि आपको **लॉगिन करने के लिए उपयोगकर्ताओं के पासवर्ड को समझौता करना होगा**
- यदि आपके पास उपयोगकर्ताओं के **ईमेल** तक पहुंच है, तो आप **एक मौजूदा उपयोगकर्ता का Workspace पासवर्ड बदल सकते हैं**, या **एक नया उपयोगकर्ता बना सकते हैं**, जब तक कि यह समन्वयित न हो जाए और खाता सेटअप करें।
@@ -39,9 +39,9 @@
आपको पहले यह पता लगाना होगा कि कौन से समूह समन्वयित हो रहे हैं। हालांकि यह संभावना है कि **सभी** समूह समन्वयित हो रहे हैं (जैसा कि Workspace इसकी अनुमति देता है)।
> [!NOTE]
> ध्यान दें कि भले ही समूह और सदस्यताएँ Workspace में आयात की गई हों, **जो उपयोगकर्ता उपयोगकर्ता समन्वय में समन्वयित नहीं हैं, वे समूह समन्वय के दौरान नहीं बनाए जाएंगे** भले ही वे किसी भी समन्वयित समूह के सदस्य हों।
> ध्यान दें कि भले ही समूह और सदस्यताएँ Workspace में आयात की गई हों, **जो उपयोगकर्ता उपयोगकर्ताओं के समन्वय में समन्वयित नहीं हैं, वे समूहों के समन्वय के दौरान नहीं बनाए जाएंगे** भले ही वे किसी भी समन्वयित समूह के सदस्य हों।
यदि आप जानते हैं कि Azure के कौन से समूह **Workspace या GCP में अनुमतियाँ सौंपे जा रहे हैं**, तो आप बस एक समझौता किए गए उपयोगकर्ता (या नए बनाए गए) को उस समूह में जोड़ सकते हैं और उन अनुमतियों को प्राप्त कर सकते हैं।
यदि आप जानते हैं कि Azure के कौन से समूह **Workspace या GCP में अनुमतियाँ सौंपे गए हैं**, तो आप बस एक समझौता किए गए उपयोगकर्ता (या नए बनाए गए) को उस समूह में जोड़ सकते हैं और उन अनुमतियों को प्राप्त कर सकते हैं।
Workspace में मौजूदा विशेषाधिकार प्राप्त समूहों का दुरुपयोग करने का एक और विकल्प है। उदाहरण के लिए, समूह `gcp-organization-admins@<workspace.email>` आमतौर पर GCP पर उच्च विशेषाधिकार रखता है।
@@ -50,8 +50,8 @@ Workspace में मौजूदा विशेषाधिकार प्
### From Google Workspace -> AD/EntraID
ध्यान दें कि Workspace को उपयोगकर्ताओं और समूहों को समन्वयित करने के लिए AD या EntraID पर पढ़ने की केवल पहुंच वाले ्रेडेंशियल्स की आवश्यकता होती है। इसलिए, AD या EntraID में कोई परिवर्तन करने के लिए Google Workspace का दुरुपयोग करना संभव नहीं है। इसलिए **यह इस समय संभव नहीं है**
ध्यान दें कि Workspace को उपयोगकर्ताओं और समूहों को समन्वयित करने के लिए AD या EntraID पर पढ़ने की केवल पहुंच वाले ्रमाणपत्रों की आवश्यकता होती है। इसलिए, AD या EntraID में कोई परिवर्तन करने के लिए Google Workspace का दुरुपयोग करना संभव नहीं है। इसलिए **यह इस समय संभव नहीं है**
मुझे यह भी नहीं पता कि Google AD ्रेडेंशियल्स या EntraID टोकन को कहाँ संग्रहीत करता है और आप **समन्वय को फिर से कॉन्फ़िगर करके उन्हें पुनर्प्राप्त नहीं कर सकते** (वे वेब फॉर्म में नहीं दिखाई देते, आपको उन्हें फिर से देना होगा)। हालाँकि, वेब से यह संभव हो सकता है कि मौजूदा कार्यक्षमता का दुरुपयोग करके **उपयोगकर्ताओं और समूहों की सूची बनाई जाए**
मुझे यह भी नहीं पता कि Google AD ्रमाणपत्र या EntraID टोकन को कहाँ संग्रहीत करता है और आप **समन्वय को फिर से कॉन्फ़िगर करके उन्हें पुनर्प्राप्त नहीं कर सकते** (वे वेब फॉर्म में नहीं दिखाई देते, आपको उन्हें फिर से देना होगा)। हालाँकि, वेब से वर्तमान कार्यक्षमता का दुरुपयोग करके **उपयोगकर्ताओं और समूहों की सूची** बनाना संभव हो सकता है
{{#include ../../../banners/hacktricks-training.md}}