gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-30 14:40:37 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/workspace-security/gws-workspace-sync-

Browse Source
This commit is contained in:
Translator
2025-05-20 06:05:00 +00:00
parent 4ab7199cd2
commit 31ee02e894
1 changed files with 7 additions and 7 deletions
Download Patch File Download Diff File Expand all files Collapse all files

14
src/pentesting-cloud/workspace-security/gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/gws-admin-directory-sync.md
View File

@@ -9,14 +9,14 @@ La principale differenza tra questo modo di sincronizzare gli utenti con GCDS è
Al momento della scrittura, questo servizio è in beta e supporta 2 tipi di sincronizzazione: Da **Active Directory** e da **Azure Entra ID:**
- **Active Directory:** Per configurarlo, devi dare **accesso a Google al tuo ambiente Active Directory**. E poiché Google ha accesso solo alle reti GCP (tramite **VPC connectors**), devi creare un connettore e poi rendere il tuo AD disponibile da quel connettore avendolo in VM nella rete GCP o utilizzando Cloud VPN o Cloud Interconnect. Inoltre, devi fornire **credenziali** di un account con accesso in lettura sulla directory e un **certificato** per contattare tramite **LDAPS**.
- **Azure Entra ID:** Per configurarlo è necessario **accedere ad Azure con un utente con accesso in lettura** sulla sottoscrizione Entra ID in un pop-up mostrato da Google, e Google manterrà il token con accesso in lettura su Entra ID.
- **Azure Entra ID:** Per configurarlo, è necessario **accedere ad Azure con un utente con accesso in lettura** sulla sottoscrizione di Entra ID in un pop-up mostrato da Google, e Google manterrà il token con accesso in lettura su Entra ID.
Una volta configurate correttamente, entrambe le opzioni consentiranno di **sincronizzare utenti e gruppi in Workspace**, ma non permetteranno di configurare utenti e gruppi da Workspace a AD o EntraID.
Una volta configurate correttamente, entrambe le opzioni consentiranno di **sincronizzare utenti e gruppi in Workspace**, ma non consentiranno di configurare utenti e gruppi da Workspace a AD o EntraID.
Altre opzioni che saranno consentite durante questa sincronizzazione sono:
- Inviare un'email ai nuovi utenti per il login
- Cambiare automaticamente il loro indirizzo email in quello utilizzato da Workspace. Quindi, se Workspace utilizza `@hacktricks.xyz` e gli utenti di EntraID utilizzano `@carloshacktricks.onmicrosoft.com`, `@hacktricks.xyz` sarà utilizzato per gli utenti creati nell'account.
- Cambiare automaticamente il loro indirizzo email in quello utilizzato da Workspace. Quindi, se Workspace utilizza `@hacktricks.xyz` e gli utenti di EntraID utilizzano `@carloshacktricks.onmicrosoft.com`, verrà utilizzato `@hacktricks.xyz` per gli utenti creati nell'account.
- Selezionare i **gruppi contenenti gli utenti** che saranno sincronizzati.
- Selezionare i **gruppi** da sincronizzare e creare in Workspace (o indicare di sincronizzare tutti i gruppi).
@@ -41,17 +41,17 @@ Devi anche prima capire quali gruppi vengono sincronizzati. Anche se c'è la pos
> [!NOTE]
> Nota che anche se i gruppi e le appartenenze vengono importati in Workspace, gli **utenti che non sono sincronizzati nella sincronizzazione degli utenti non verranno creati** durante la sincronizzazione dei gruppi anche se sono membri di uno dei gruppi sincronizzati.
Se sai quali gruppi di Azure hanno **permessi assegnati in Workspace o GCP**, potresti semplicemente aggiungere un utente compromesso (o appena creato) in quel gruppo e ottenere quei permessi.
Se sai quali gruppi di Azure sono **assegnati permessi in Workspace o GCP**, potresti semplicemente aggiungere un utente compromesso (o appena creato) in quel gruppo e ottenere quei permessi.
C'è un'altra opzione per abusare dei gruppi privilegiati esistenti in Workspace. Ad esempio, il gruppo `gcp-organization-admins@<workspace.email>` di solito ha alti privilegi su GCP.
Se la sincronizzazione da, ad esempio, EntraID, a Workspace è **configurata per sostituire il dominio** dell'oggetto importato **con l'email di Workspace**, sarà possibile per un attaccante creare il gruppo `gcp-organization-admins@<entraid.email>` in EntraID, aggiungere un utente in questo gruppo e aspettare che avvenga la sincronizzazione di tutti i gruppi.\
**L'utente sarà aggiunto nel gruppo `gcp-organization-admins@<workspace.email>` elevando i privilegi in GCP.**
Se la sincronizzazione da, ad esempio, EntraID a Workspace è **configurata per sostituire il dominio** dell'oggetto importato **con l'email di Workspace**, sarà possibile per un attaccante creare il gruppo `gcp-organization-admins@<entraid.email>` in EntraID, aggiungere un utente in questo gruppo e aspettare che avvenga la sincronizzazione di tutti i gruppi.\
**L'utente verrà aggiunto nel gruppo `gcp-organization-admins@<workspace.email>` aumentando i privilegi in GCP.**
### Da Google Workspace -> AD/EntraID
Nota che Workspace richiede credenziali con accesso in sola lettura su AD o EntraID per sincronizzare utenti e gruppi. Pertanto, non è possibile abusare di Google Workspace per apportare modifiche a AD o EntraID. Quindi **questo non è possibile** al momento.
Non so nemmeno dove Google memorizzi le credenziali AD o il token EntraID e non **puoi recuperarli riconfigurando la sincronizzazione** (non appaiono nel modulo web, devi fornirli di nuovo). Tuttavia, dal web potrebbe essere possibile abusare della funzionalità attuale per **elencare utenti e gruppi**.
Non so nemmeno dove Google memorizzi le credenziali AD o il token di EntraID e non **puoi recuperarli riconfigurando la sincronizzazione** (non appaiono nel modulo web, devi fornirli di nuovo). Tuttavia, dal web potrebbe essere possibile abusare della funzionalità attuale per **elencare utenti e gruppi**.
{{#include ../../../banners/hacktricks-training.md}}