GWS - Admin Directory Sync

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin

Temel Bilgiler

GCDS ile kullanıcıları senkronize etmenin bu yolunun ana farkı, GCDS’nin bazı ikili dosyaları indirip çalıştırarak manuel olarak yapılmasıdır, oysa Admin Directory Sync sunucusuz olarak Google tarafından yönetilmektedir https://admin.google.com/ac/sync/externaldirectories.

Bu yazının yazıldığı anda bu hizmet beta aşamasındadır ve 2 tür senkronizasyonu desteklemektedir: Active Directory ve Azure Entra ID üzerinden:

  • Active Directory: Bunu ayarlamak için Google’a Active Directory ortamınıza erişim vermeniz gerekmektedir. Google yalnızca GCP ağlarına (VPC bağlantıları aracılığıyla) erişim sağladığı için bir bağlantı oluşturmanız ve ardından AD’nizi bu bağlantıdan, GCP ağındaki VM’lerde veya Cloud VPN veya Cloud Interconnect kullanarak erişilebilir hale getirmeniz gerekmektedir. Ayrıca, dizin üzerinde okuma erişimi olan bir hesabın kimlik bilgilerini ve LDAPS üzerinden iletişim kurmak için bir sertifika sağlamanız gerekmektedir.
  • Azure Entra ID: Bunu yapılandırmak için sadece Google tarafından gösterilen bir pop-up’ta Entra ID aboneliği üzerinde okuma erişimi olan bir kullanıcı ile Azure’a giriş yapmanız gerekmektedir ve Google, Entra ID üzerinde okuma erişimi olan token’ı saklayacaktır.

Doğru bir şekilde yapılandırıldığında, her iki seçenek de kullanıcıları ve grupları Workspace’e senkronize etmeye olanak tanıyacaktır, ancak Workspace’ten AD veya EntraID’ye kullanıcı ve grup yapılandırmasına izin vermeyecektir.

Bu senkronizasyon sırasında izin verilen diğer seçenekler şunlardır:

  • Yeni kullanıcılara giriş yapmaları için bir e-posta göndermek
  • E-posta adreslerini Workspace tarafından kullanılan adresle otomatik olarak değiştirmek. Yani, eğer Workspace @hacktricks.xyz kullanıyorsa ve EntraID kullanıcıları @carloshacktricks.onmicrosoft.com kullanıyorsa, @hacktricks.xyz hesapta oluşturulan kullanıcılar için kullanılacaktır.
  • Senkronize edilecek kullanıcıları içeren grupları seçmek.
  • Senkronize edilecek ve Workspace’te oluşturulacak grupları seçmek (veya tüm grupları senkronize etmek için belirtmek).

AD/EntraID’den -> Google Workspace (& GCP)

Eğer bir AD veya EntraID’yi ele geçirmeyi başarırsanız, Google Workspace ile senkronize edilecek kullanıcılar ve gruplar üzerinde tam kontrol sahibi olursunuz.
Ancak, kullanıcıların Workspace’te kullanıyor olabileceği şifrelerin aynı olabileceğini veya olmayabileceğini unutmayın.

Kullanıcılara Saldırmak

Senkronizasyon gerçekleştiğinde, AD’den tüm kullanıcıları veya yalnızca belirli bir OU’dan olanları veya yalnızca EntraID’deki belirli grupların üyelerini senkronize edebilir. Bu, senkronize edilmiş bir kullanıcıya saldırmak (veya senkronize edilen yeni bir kullanıcı oluşturmak) için önce hangi kullanıcıların senkronize edildiğini belirlemeniz gerektiği anlamına gelir.

  • Kullanıcılar AD veya EntraID’den şifrelerini yeniden kullanıyor olabilir, ancak bu, giriş yapmak için kullanıcıların şifrelerini ele geçirmeniz gerektiği anlamına gelir.
  • Kullanıcıların maillerine erişiminiz varsa, mevcut bir kullanıcının Workspace şifresini değiştirebilir veya yeni bir kullanıcı oluşturabilir, senkronize edilene kadar bekleyebilir ve hesabı ayarlayabilirsiniz.

Workspace içinde kullanıcıya eriştiğinizde, varsayılan olarak bazı izinler verilebilir.

Gruplara Saldırmak

Öncelikle hangi grupların senkronize edildiğini belirlemeniz de gerekmektedir. TÜM grupların senkronize edilme olasılığı vardır (çünkü Workspace bunu sağlar).

Note

Gruplar ve üyelikler Workspace’e aktarılsa bile, kullanıcı senkronizasyonunda senkronize edilmeyen kullanıcılar gruplar senkronize edilirken oluşturulmayacaktır, bu grupların herhangi birinin üyesi olsalar bile.

Azure’dan hangi grupların Workspace veya GCP’de izinler atandığını biliyorsanız, o gruba ele geçirilmiş (veya yeni oluşturulmuş) bir kullanıcı ekleyebilir ve bu izinleri alabilirsiniz.

Workspace’teki mevcut ayrıcalıklı grupları kötüye kullanmanın başka bir yolu da vardır. Örneğin, gcp-organization-admins@<workspace.email> grubu genellikle GCP üzerinde yüksek ayrıcalıklara sahiptir.

Eğer EntraID’den Workspace’e senkronizasyon, ithal edilen nesnenin alanını Workspace’in e-posta adresi ile değiştirecek şekilde yapılandırılmışsa, bir saldırganın EntraID’de gcp-organization-admins@<entraid.email> grubunu oluşturması, bu gruba bir kullanıcı eklemesi ve tüm grupların senkronizasyonunu beklemesi mümkün olacaktır.
Kullanıcı, gcp-organization-admins@<workspace.email> grubuna eklenerek GCP’de ayrıcalıkları artıracaktır.

Google Workspace’ten -> AD/EntraID

Workspace’in kullanıcıları ve grupları senkronize etmek için AD veya EntraID üzerinde yalnızca okuma erişimi olan kimlik bilgileri gerektirdiğini unutmayın. Bu nedenle, Google Workspace’i AD veya EntraID’de herhangi bir değişiklik yapmak için kötüye kullanmak mümkün değildir. Yani bu şu anda mümkün değildir.

Google’ın AD kimlik bilgilerini veya EntraID token’ını nerede sakladığını da bilmiyorum ve senkronizasyonu yeniden yapılandırarak bunları geri alamazsınız (web formunda görünmezler, tekrar vermeniz gerekir). Ancak, web üzerinden mevcut işlevselliği kullanıcıları ve grupları listelemek için kötüye kullanmak mümkün olabilir.

Tip

AWS Hacking’i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks'i Destekleyin