HackTricks CloudGWS - Admin Directory Sync
Reading time: 5 minutes
tip
Jifunze na fanya mazoezi ya AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.
Basic Information
Tofauti kuu kati ya njia hii ya kuunganisha watumiaji na GCDS ni kwamba GCDS inafanywa kwa mikono kwa kutumia binaries ambazo unahitaji kupakua na kuendesha wakati Admin Directory Sync haina seva inasimamiwa na Google katika https://admin.google.com/ac/sync/externaldirectories.
Wakati wa kuandika hii huduma iko katika beta na inasaidia aina 2 za usawazishaji: Kutoka Active Directory na kutoka Azure Entra ID:
- Active Directory: Ili kuweka hii unahitaji kutoa ufikiaji kwa Google kwa mazingira yako ya Active Directory. Na kwa kuwa Google ina ufikiaji tu kwa mitandao ya GCP (kupitia VPC connectors) unahitaji kuunda kiunganishi na kisha kufanya AD yako ipatikane kutoka kwa kiunganishi hicho kwa kuwa na hiyo katika VMs katika mtandao wa GCP au kutumia Cloud VPN au Cloud Interconnect. Kisha, unahitaji pia kutoa akili ya akaunti yenye ufikiaji wa kusoma juu ya directory na cheti ili kuwasiliana kupitia LDAPS.
- Azure Entra ID: Ili kuunda hii inahitajika tu kuingia katika Azure na mtumiaji mwenye ufikiaji wa kusoma juu ya usajili wa Entra ID katika pop-up inayonyeshwa na Google, na Google itahifadhi token yenye ufikiaji wa kusoma juu ya Entra ID.
Mara tu ikikamilishwa vizuri, chaguzi zote mbili zitawawezesha kuunganisha watumiaji na vikundi kwa Workspace, lakini haitaruhusu kuunda watumiaji na vikundi kutoka Workspace hadi AD au EntraID.
Chaguzi nyingine ambazo zitapatikana wakati wa usawazishaji huu ni:
- Kutuma barua pepe kwa watumiaji wapya kuingia
- Kubadilisha moja kwa moja anwani yao ya barua pepe kuwa ile inayotumika na Workspace. Hivyo kama Workspace inatumia
@hacktricks.xyzna watumiaji wa EntraID wanatumia@carloshacktricks.onmicrosoft.com,@hacktricks.xyzitatumika kwa watumiaji walioundwa katika akaunti. - Kuchagua vikundi vinavyokuwa na watumiaji ambao watasawazishwa.
- Kuchagua vikundi vya kusawazisha na kuunda katika Workspace (au kuashiria kusawazisha vikundi vyote).
From AD/EntraID -> Google Workspace (& GCP)
Ikiwa unafanikiwa kuathiri AD au EntraID utakuwa na udhibiti kamili wa watumiaji & vikundi ambavyo vitasawazishwa na Google Workspace.
Hata hivyo, zingatia kwamba nywila ambazo watumiaji wanaweza kuwa wanatumia katika Workspace zinaweza kuwa zile zile au si.
Attacking users
Wakati usawazishaji unapotokea inaweza kusawazisha watumiaji wote kutoka AD au wale tu kutoka OU maalum au tu watumiaji wanachama wa vikundi maalum katika EntraID. Hii inamaanisha kwamba ili kushambulia mtumiaji aliyeunganishwa (au kuunda mpya anayesawazishwa) itabidi kwanza uelewe ni watumiaji gani wanaunganishwa.
- Watumiaji wanaweza kuwa wanatumia nywila ile ile au si kutoka AD au EntraID, lakini hii inamaanisha kwamba itabidi uathiri nywila za watumiaji ili kuingia.
- Ikiwa una ufikiaji wa barua pepe za watumiaji, unaweza kubadilisha nywila ya Workspace ya mtumiaji aliyepo, au kuunda mtumiaji mpya, subiri hadi ipate usawazishaji na kuanzisha akaunti hiyo.
Mara tu unapoingia mtumiaji ndani ya Workspace inaweza kutolewa baadhi ya idhini za default.
Attacking Groups
Unahitaji pia kuelewa kwanza ni vikundi gani vinavyounganishwa. Ingawa kuna uwezekano kwamba VIKUNDI VYOTE vinavyounganishwa (kama Workspace inaruhusu hili).
note
Zingatia kwamba hata kama vikundi na uanachama vinapoingizwa katika Workspace, watumiaji ambao hawajasawazishwa katika usawazishaji wa watumiaji hawataundwa wakati wa usawazishaji wa vikundi hata kama ni wanachama wa mojawapo ya vikundi vilivyounganishwa.
Ikiwa unajua ni vikundi vipi kutoka Azure vinavyokuwa vimepewa idhini katika Workspace au GCP, unaweza tu kuongeza mtumiaji aliyeathiriwa (au mpya aliyeundwa) katika kikundi hicho na kupata hizo idhini.
Kuna chaguo lingine la kutumia vikundi vilivyokuwa na mamlaka katika Workspace. Kwa mfano, kikundi gcp-organization-admins@<workspace.email> kawaida kina mamlaka makubwa juu ya GCP.
Ikiwa usawazishaji kutoka, kwa mfano EntraID, hadi Workspace ume pangwa kubadilisha domain ya kitu kilichooingizwaji na barua pepe ya Workspace, itakuwa inawezekana kwa mshambuliaji kuunda kikundi gcp-organization-admins@<entraid.email> katika EntraID, kuongeza mtumiaji katika kikundi hiki, na kusubiri hadi usawazishaji wa vikundi vyote ufanyike.
Mtumiaji ataongezwa katika kikundi gcp-organization-admins@<workspace.email> akipandisha mamlaka katika GCP.
From Google Workspace -> AD/EntraID
Zingatia kwamba Workspace inahitaji akili zenye ufikiaji wa kusoma tu juu ya AD au EntraID ili kusawazisha watumiaji na vikundi. Kwa hivyo, haiwezekani kutumia Google Workspace kufanya mabadiliko yoyote katika AD au EntraID. Hivyo hii haiwezekani kwa wakati huu.
Sijui pia Google inahifadhi wapi akili za AD au token ya EntraID na huwezi kuziokoa kwa kuunda upya usawazishaji (hazionekani katika fomu ya wavuti, unahitaji kuzipatia tena). Hata hivyo, kutoka kwenye wavuti inaweza kuwa inawezekana kutumia kazi ya sasa ili orodhesha watumiaji na vikundi.
tip
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Support HackTricks
- Angalia mpango wa usajili!
- Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
- Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.