gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-13 21:36:23 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/workspace-security/gws-workspace-sync-

Browse Source
This commit is contained in:
Translator
2025-05-20 06:05:03 +00:00
parent 83ca5c8dcd
commit 187c6fecb3
1 changed files with 9 additions and 9 deletions
Download Patch File Download Diff File Expand all files Collapse all files

18
src/pentesting-cloud/workspace-security/gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/gws-admin-directory-sync.md
View File

@@ -8,31 +8,31 @@ La principal diferencia entre esta forma de sincronizar usuarios con GCDS es que
En el momento de escribir esto, este servicio está en beta y soporta 2 tipos de sincronización: Desde **Active Directory** y desde **Azure Entra ID:**
- **Active Directory:** Para configurar esto necesitas dar **acceso a Google a tu entorno de Active Directory**. Y como Google solo tiene acceso a redes de GCP (a través de **conectores VPC**), necesitas crear un conector y luego hacer que tu AD esté disponible desde ese conector teniendo VMs en la red de GCP o usando Cloud VPN o Cloud Interconnect. Luego, también necesitas proporcionar **credenciales** de una cuenta con acceso de lectura sobre el directorio y un **certificado** para contactar a través de **LDAPS**.
- **Azure Entra ID:** Para configurar esto solo es necesario **iniciar sesión en Azure con un usuario con acceso de lectura** sobre la suscripción de Entra ID en un pop-up mostrado por Google, y Google mantendrá el token con acceso de lectura sobre Entra ID.
- **Active Directory:** Para configurar esto, necesitas dar **acceso a Google a tu entorno de Active Directory**. Y como Google solo tiene acceso a redes de GCP (a través de **conectores VPC**), necesitas crear un conector y luego hacer que tu AD esté disponible desde ese conector al tenerlo en VMs en la red de GCP o usando Cloud VPN o Cloud Interconnect. Luego, también necesitas proporcionar **credenciales** de una cuenta con acceso de lectura sobre el directorio y un **certificado** para contactar a través de **LDAPS**.
- **Azure Entra ID:** Para configurar esto, solo es necesario **iniciar sesión en Azure con un usuario con acceso de lectura** sobre la suscripción de Entra ID en un pop-up mostrado por Google, y Google mantendrá el token con acceso de lectura sobre Entra ID.
Una vez configuradas correctamente, ambas opciones permitirán **sincronizar usuarios y grupos a Workspace**, pero no permitirán configurar usuarios y grupos desde Workspace a AD o EntraID.
Una vez configurado correctamente, ambas opciones permitirán **sincronizar usuarios y grupos a Workspace**, pero no permitirán configurar usuarios y grupos desde Workspace a AD o EntraID.
Otras opciones que permitirá durante esta sincronización son:
- Enviar un correo electrónico a los nuevos usuarios para que inicien sesión
- Enviar un correo electrónico a los nuevos usuarios para iniciar sesión
- Cambiar automáticamente su dirección de correo electrónico a la utilizada por Workspace. Así que si Workspace está usando `@hacktricks.xyz` y los usuarios de EntraID usan `@carloshacktricks.onmicrosoft.com`, se utilizará `@hacktricks.xyz` para los usuarios creados en la cuenta.
- Seleccionar los **grupos que contienen los usuarios** que serán sincronizados.
- Seleccionar **grupos** para sincronizar y crear en Workspace (o indicar que se sincronicen todos los grupos).
### De AD/EntraID -> Google Workspace (& GCP)
Si logras comprometer un AD o EntraID tendrás control total sobre los usuarios y grupos que se van a sincronizar con Google Workspace.\
Si logras comprometer un AD o EntraID, tendrás control total sobre los usuarios y grupos que se van a sincronizar con Google Workspace.\
Sin embargo, ten en cuenta que las **contraseñas** que los usuarios podrían estar usando en Workspace **podrían ser las mismas o no**.
#### Atacando usuarios
Cuando ocurre la sincronización, podría sincronizar **todos los usuarios de AD o solo los de una OU específica** o solo los **usuarios miembros de grupos específicos en EntraID**. Esto significa que para atacar a un usuario sincronizado (o crear uno nuevo que se sincronice) primero necesitarás averiguar qué usuarios están siendo sincronizados.
Cuando ocurre la sincronización, puede sincronizar **todos los usuarios de AD o solo los de una OU específica** o solo los **usuarios miembros de grupos específicos en EntraID**. Esto significa que para atacar a un usuario sincronizado (o crear uno nuevo que se sincronice) primero necesitarás averiguar qué usuarios están siendo sincronizados.
- Los usuarios podrían estar **reutilizando la contraseña o no de AD o EntraID**, pero esto significa que necesitarás **comprometer las contraseñas de los usuarios para iniciar sesión**.
- Los usuarios pueden estar **reutilizando la contraseña o no de AD o EntraID**, pero esto significa que necesitarás **comprometer las contraseñas de los usuarios para iniciar sesión**.
- Si tienes acceso a los **correos** de los usuarios, podrías **cambiar la contraseña de Workspace de un usuario existente**, o **crear un nuevo usuario**, esperar hasta que se sincronice y configurar la cuenta.
Una vez que accedas al usuario dentro de Workspace, podría recibir algunos **permisos por defecto**.
Una vez que accedas al usuario dentro de Workspace, se le pueden otorgar algunos **permisos por defecto**.
#### Atacando Grupos
@@ -52,6 +52,6 @@ Si la sincronización de, por ejemplo, EntraID a Workspace está **configurada p
Ten en cuenta que Workspace requiere credenciales con acceso de solo lectura sobre AD o EntraID para sincronizar usuarios y grupos. Por lo tanto, no es posible abusar de Google Workspace para realizar ningún cambio en AD o EntraID. Así que **esto no es posible** en este momento.
Tampoco sé dónde almacena Google las credenciales de AD o el token de EntraID y **no puedes recuperarlos reconfigurando la sincronización** (no aparecen en el formulario web, necesitas darlos nuevamente). Sin embargo, desde la web podría ser posible abusar de la funcionalidad actual para **listar usuarios y grupos**.
Tampoco sé dónde almacena Google las credenciales de AD o el token de EntraID y no **puedes recuperarlas reconfigurando la sincronización** (no aparecen en el formulario web, necesitas darlas nuevamente). Sin embargo, desde la web podría ser posible abusar de la funcionalidad actual para **listar usuarios y grupos**.
{{#include ../../../banners/hacktricks-training.md}}