gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 11:26:11 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/workspace-security/gws-workspace-sync-

Browse Source
This commit is contained in:
Translator
2025-05-20 06:05:01 +00:00
parent 7e6b7a9532
commit e2c428d175
1 changed files with 15 additions and 15 deletions
Download Patch File Download Diff File Expand all files Collapse all files

30
src/pentesting-cloud/workspace-security/gws-workspace-sync-attacks-gcpw-gcds-gps-directory-sync-with-ad-and-entraid/gws-admin-directory-sync.md
View File

@@ -11,28 +11,28 @@ U trenutku pisanja ovog teksta, ova usluga je u beta verziji i podržava 2 tipa
- **Active Directory:** Da biste ovo postavili, potrebno je da **dajte pristup Google-u vašem Active Directory okruženju**. Kako Google ima pristup samo GCP mrežama (putem **VPC konektora**), potrebno je da kreirate konektor i zatim učinite svoj AD dostupnim iz tog konektora tako što ćete ga imati u VM-ovima u GCP mreži ili koristeći Cloud VPN ili Cloud Interconnect. Takođe, potrebno je da obezbedite **akreditiv** naloga sa pristupom za čitanje nad direktorijumom i **sertifikat** za kontakt putem **LDAPS**.
- **Azure Entra ID:** Da biste ovo konfigurisali, potrebno je samo da se **prijavite u Azure sa korisnikom koji ima pristup za čitanje** nad Entra ID pretplatom u iskačućem prozoru koji prikazuje Google, a Google će zadržati token sa pristupom za čitanje nad Entra ID.
Kada je pravilno konfigurisano, obe opcije će omogućiti **sinhronizaciju korisnika i grupa sa Workspace**, ali neće omogućiti konfiguraciju korisnika i grupa iz Workspace u AD ili EntraID.
Kada je ispravno konfigurisano, obe opcije će omogućiti **sinhronizaciju korisnika i grupa sa Workspace**, ali neće omogućiti konfiguraciju korisnika i grupa iz Workspace-a u AD ili EntraID.
Druge opcije koje će biti omogućene tokom ove sinhronizacije su:
Druge opcije koje će omogućiti tokom ove sinhronizacije su:
- Slanje emaila novim korisnicima za prijavu
- Automatska promena njihove email adrese na onu koju koristi Workspace. Dakle, ako Workspace koristi `@hacktricks.xyz`, a EntraID korisnici koriste `@carloshacktricks.onmicrosoft.com`, `@hacktricks.xyz` će se koristiti za korisnike kreirane u nalogu.
- Automatska promena njihove email adrese na onu koju koristi Workspace. Dakle, ako Workspace koristi `@hacktricks.xyz`, a EntraID korisnici koriste `@carloshacktricks.onmicrosoft.com`, koristiće se `@hacktricks.xyz` za korisnike kreirane u nalogu.
- Odabir **grupa koje sadrže korisnike** koji će biti sinhronizovani.
- Odabir **grupa** za sinhronizaciju i kreiranje u Workspace (ili označavanje za sinhronizaciju svih grupa).
- Odabir **grupa** za sinhronizaciju i kreiranje u Workspace-u (ili označavanje za sinhronizaciju svih grupa).
### Iz AD/EntraID -> Google Workspace (& GCP)
Ako uspete da kompromitujete AD ili EntraID, imaćete potpunu kontrolu nad korisnicima i grupama koje će biti sinhronizovane sa Google Workspace.\
Međutim, imajte na umu da **lozinke** koje korisnici možda koriste u Workspace **mogu biti iste ili ne**.
Međutim, imajte na umu da **lozinke** koje korisnici možda koriste u Workspace-u **mogu biti iste ili ne**.
#### Napad na korisnike
Kada se sinhronizacija dogodi, može se sinhronizovati **svi korisnici iz AD ili samo oni iz specifične OU** ili samo **korisnici članovi specifičnih grupa u EntraID**. To znači da da biste napali sinhronizovanog korisnika (ili kreirali novog koji se sinhronizuje), prvo ćete morati da saznate koji se korisnici sinhronizuju.
Kada se sinhronizacija dogodi, može sinhronizovati **sve korisnike iz AD-a ili samo one iz specifične OU** ili samo **korisnike članove specifičnih grupa u EntraID**. To znači da da biste napali sinhronizovanog korisnika (ili kreirali novog koji se sinhronizuje), prvo ćete morati da saznate koji se korisnici sinhronizuju.
- Korisnici mogu **ponovo koristiti lozinku ili ne iz AD ili EntraID**, ali to znači da ćete morati da **kompromitujete lozinke korisnika da biste se prijavili**.
- Ako imate pristup **mailovima** korisnika, mogli biste **promeniti Workspace lozinku postojećeg korisnika**, ili **kreirati novog korisnika**, sačekati da se sinhronizuje i postaviti nalog.
- Korisnici mogu **ponovo koristiti lozinku ili ne iz AD-a ili EntraID**, ali to znači da ćete morati da **kompromitujete lozinke korisnika da biste se prijavili**.
- Ako imate pristup **emailovima** korisnika, mogli biste **promeniti Workspace lozinku postojećeg korisnika**, ili **kreirati novog korisnika**, sačekati da se sinhronizuje i postaviti nalog.
Kada pristupite korisniku unutar Workspace-a, mogu mu biti dodeljene neke **dozvole po defaultu**.
Kada pristupite korisniku unutar Workspace-a, može mu biti dodeljeno nekoliko **dozvola po defaultu**.
#### Napad na grupe
@@ -41,17 +41,17 @@ Takođe treba prvo da saznate koje se grupe sinhronizuju. Iako postoji mogućnos
> [!NOTE]
> Imajte na umu da čak i ako su grupe i članstva uvezena u Workspace, **korisnici koji nisu sinhronizovani u sinhronizaciji korisnika neće biti kreirani** tokom sinhronizacije grupa, čak i ako su članovi bilo koje od sinhronizovanih grupa.
Ako znate koje grupe iz Azure su **dodeljene dozvole u Workspace ili GCP**, mogli biste jednostavno dodati kompromitovanog korisnika (ili novokreiranog) u tu grupu i dobiti te dozvole.
Ako znate koje grupe iz Azure-a imaju **dodeljene dozvole u Workspace-u ili GCP-u**, mogli biste jednostavno dodati kompromitovanog korisnika (ili novokreiranog) u tu grupu i dobiti te dozvole.
Postoji još jedna opcija za zloupotrebu postojećih privilegovanih grupa u Workspace-u. Na primer, grupa `gcp-organization-admins@<workspace.email>` obično ima visoke privilegije nad GCP.
Postoji još jedna opcija za zloupotrebu postojećih privilegovanih grupa u Workspace-u. Na primer, grupa `gcp-organization-admins@<workspace.email>` obično ima visoke privilegije nad GCP-om.
Ako je sinhronizacija iz, na primer, EntraID u Workspace **konfigurisana da zameni domen** uvezenog objekta **sa email-om Workspace-a**, biće moguće za napadača da kreira grupu `gcp-organization-admins@<entraid.email>` u EntraID, doda korisnika u ovu grupu i sačeka da se sinhronizacija svih grupa dogodi.\
**Korisnik će biti dodat u grupu `gcp-organization-admins@<workspace.email>` eskalirajući privilegije u GCP.**
Ako je sinhronizacija iz, na primer, EntraID-a u Workspace **konfigurisana da zameni domen** uvezenog objekta **sa email-om Workspace-a**, biće moguće da napadač kreira grupu `gcp-organization-admins@<entraid.email>` u EntraID-u, doda korisnika u ovu grupu i sačeka da se sinhronizacija svih grupa dogodi.\
**Korisnik će biti dodat u grupu `gcp-organization-admins@<workspace.email>`, eskalirajući privilegije u GCP-u.**
### Iz Google Workspace -> AD/EntraID
Imajte na umu da Workspace zahteva akreditive sa pristupom samo za čitanje nad AD ili EntraID da bi sinhronizovao korisnike i grupe. Stoga, nije moguće zloupotrebiti Google Workspace da bi se izvršila bilo kakva promena u AD ili EntraID. Dakle, **to nije moguće** u ovom trenutku.
Imajte na umu da Workspace zahteva akreditive sa pristupom samo za čitanje nad AD-om ili EntraID-om da bi sinhronizovao korisnike i grupe. Stoga, nije moguće zloupotrebiti Google Workspace za izvršenje bilo kakvih promena u AD-u ili EntraID-u. Dakle, **to nije moguće** u ovom trenutku.
Takođe ne znam gde Google čuva AD akreditive ili EntraID token i ne **možete ih povratiti ponovnom konfiguracijom sinhronizacije** (ne pojavljuju se u web formi, morate ih ponovo uneti). Međutim, sa web-a može biti moguće zloupotrebiti trenutnu funkcionalnost da **prikazujete korisnike i grupe**.
Takođe ne znam gde Google čuva AD akreditive ili EntraID token i ne možete ih **oporaviti ponovnom konfiguracijom sinhronizacije** (ne pojavljuju se u web formi, morate ih ponovo uneti). Međutim, putem web-a može biti moguće zloupotrebiti trenutnu funkcionalnost za **listanje korisnika i grupa**.
{{#include ../../../banners/hacktricks-training.md}}