GCP Pentesting

Basiese Inligting

Voordat jy begin pentesting 'n GCP omgewing, is daar 'n paar basiese dinge wat jy moet weet oor hoe dit werk om jou te help verstaan wat jy moet doen, hoe om miskonfigurasies te vind en hoe om dit te benut.

Konsepte soos organisasie hiërargie, toestemmings en ander basiese konsepte word verduidelik in:

Laboratoriums om te leer

• https://gcpgoat.joshuajebaraj.com/

• https://github.com/ine-labs/GCPGoat

• https://github.com/lacioffi/GCP-pentest-lab/

• https://github.com/carlospolop/gcp_privesc_scripts

GCP Pentester/Red Team Metodologie

Om 'n GCP omgewing te oudit is dit baie belangrik om te weet: watter dienste gebruik word, wat is blootgestel, wie het toegang tot wat, en hoe is interne GCP dienste en eksterne dienste gekoppel.

Vanuit 'n Red Team perspektief, is die eerste stap om 'n GCP omgewing te kompromitteer om te slaag om 'n paar akkrediteer te verkry. Hier is 'n paar idees oor hoe om dit te doen:

• Leaks in github (of soortgelyk) - OSINT

• Sosiale Ingenieurswese (Kyk na die bladsy Workspace Security)

• Wagwoord hergebruik (wagwoord leaks)

• Kw vulnerabilities in GCP-Hosted Applications

• Server Side Request Forgery met toegang tot metadata eindpunt

• Plaaslike Lêer Lees

• /home/USERNAME/.config/gcloud/*

• C:\Users\USERNAME\.config\gcloud\*

• 3de partye gekompromitteer

• Interne Werknemer

Of deur 'n nie-geauthentiseerde diens bloot te stel:

Of as jy 'n hersiening doen, kan jy net vraag om akkrediteer met hierdie rolle:

Basiese Enumerasie

SSRF

Vir meer inligting oor hoe om GCP metadata te enumerate, kyk na die volgende hacktricks bladsy:

Cloud SSRFHackTricks

Whoami

In GCP kan jy verskeie opsies probeer om te probeer raai wie jy is:

#If you are inside a compromise machine
gcloud auth list
curl -H "Content-Type: application/x-www-form-urlencoded" -d "access_token=$(gcloud auth print-access-token)" https://www.googleapis.com/oauth2/v1/tokeninfo
gcloud auth print-identity-token #Get info from the token

#If you compromised a metadata token or somehow found an OAuth token
curl -H "Content-Type: application/x-www-form-urlencoded" -d "access_token=<token>" https://www.googleapis.com/oauth2/v1/tokeninfo

Jy kan ook die API-eindpunt /userinfo gebruik om meer inligting oor die gebruiker te kry:

curl -H "Content-Type: application/x-www-form-urlencoded" -H "Authorization: OAuth $(gcloud auth print-access-token)" https://www.googleapis.com/oauth2/v1/userinfo

curl -H "Content-Type: application/x-www-form-urlencoded" -H "Authorization: OAuth <access_token>" https://www.googleapis.com/oauth2/v1/userinfo

Organisasie Enumerasie

# Get organizations
gcloud organizations list #The DIRECTORY_CUSTOMER_ID is the Workspace ID
gcloud resource-manager folders list --organization <org_number> # Get folders
gcloud projects list # Get projects

Beginsels & IAM Enumerasie

As jy genoeg regte het, sal die nagaan van die voorregte van elke entiteit binne die GCP-rekening jou help om te verstaan wat jy en ander identiteite kan doen en hoe om voorregte te verhoog.

As jy nie genoeg regte het om IAM te enumerate nie, kan jy brute-force hulle steel om dit uit te vind. Kyk hoe om die numerasie en brute-forcing te doen in:

Dienste Enumerasie

GCP het 'n verbasende hoeveelheid dienste, in die volgende bladsy sal jy basiese inligting, enumerasie cheatsheets vind, hoe om opsporing te vermy, volharding te verkry, en ander post-exploitatie truuks oor sommige van hulle:

Let daarop dat jy nie al die werk handmatig hoef te doen nie, hieronder in hierdie pos kan jy 'n afdeling oor outomatiese gereedskap vind.

Boonop, in hierdie fase mag jy meer dienste ontdek het wat aan nie-geverifieerde gebruikers blootgestel is, jy mag in staat wees om hulle te benut:

Voorreg Verhoging, Post Exploitatie & Volharding

Die mees algemene manier wanneer jy 'n paar wolk akrediteer of 'n diens wat binne 'n wolk loop gecompromitteer het, is om misgeconfigureerde voorregte wat die gecompromitteerde rekening mag hê, te misbruik. So, die eerste ding wat jy moet doen is om jou voorregte te enumerate.

Boonop, tydens hierdie enumerasie, onthou dat regte op die hoogste vlak van "Organisasie" gestel kan word.

Publiek Blootgestelde Dienste

Terwyl jy GCP dienste enumerate, mag jy sommige van hulle gevind het wat elemente aan die Internet blootstel (VM/Containers poorte, databasisse of wagdiens, snappings of emmers...). As pentester/rooi span lid moet jy altyd kyk of jy sensitiewe inligting / kwesbaarhede op hulle kan vind, aangesien hulle jou mag verder toegang tot die AWS-rekening bied.

In hierdie boek moet jy inligting vind oor hoe om blootgestelde GCP dienste te vind en hoe om hulle te kontroleer. Oor hoe om kwesbaarhede in blootgestelde netwerkdienste te vind, sou ek jou aanbeveel om te soek vir die spesifieke diens in:

HackTricksHackTricks

GCP <--> Workspace Pivotering

Die kompromittering van beginsels in een platform mag 'n aanvaller toelaat om die ander een te kompromitteer, kyk dit in:

Outomatiese Gereedskap

• In die GCloud-konsol, in https://console.cloud.google.com/iam-admin/asset-inventory/dashboard kan jy hulpbronne en IAM's sien wat deur projek gebruik word.

• Hier kan jy die bates sien wat deur hierdie API ondersteun word: https://cloud.google.com/asset-inventory/docs/supported-asset-types

• Kyk gereedskap wat in verskeie wolke hier gebruik kan word.

• gcp_scanner: Dit is 'n GCP hulpbron skandeerder wat kan help om te bepaal watter vlak van toegang sekere akrediteer besit op GCP.

# Install
git clone https://github.com/google/gcp_scanner.git
cd gcp_scanner
virtualenv -p python3 venv
source venv/bin/activate
pip install -r requirements.txt
# Execute with gcloud creds
python3 __main__.py -o /tmp/output/ -g "$HOME/.config/gcloud"

• gcp_enum: Bash-skrip om 'n GCP-omgewing te enumereer met behulp van gcloud cli en die resultate in 'n lêer te stoor.

• GCP-IAM-Privilege-Escalation: Skripte om hoë IAM-privileges te enumereer en om privileges in GCP te eskaleer deur dit te misbruik (Ek kon nie die enumereer-skrip laat loop nie).

• BF My GCP Permissions: Skrip om jou toestemmings te bruteforce.

gcloud config & debug

# Login so gcloud can use your credentials
gcloud auth login
gcloud config set project security-devbox
gcloud auth print-access-token

# Login so SDKs can use your user credentials
gcloud auth application-default login
gcloud auth application-default set-quota-project security-devbox
gcloud auth application-default print-access-token

# Update gcloud
gcloud components update

Capture gcloud, gsutil... netwerk

Onthou dat jy die parameter --log-http met die gcloud cli kan gebruik om die versoeke wat die hulpmiddel uitvoer te druk. As jy nie wil hê die logs moet die token waarde redigeer nie, gebruik gcloud config set log_http_redact_token false

Boonop, om die kommunikasie te onderskep:

gcloud config set proxy/address 127.0.0.1
gcloud config set proxy/port 8080
gcloud config set proxy/type http
gcloud config set auth/disable_ssl_validation True

# If you don't want to completely disable ssl_validation use:
gcloud config set core/custom_ca_certs_file cert.pem

# Back to normal
gcloud config unset proxy/address
gcloud config unset proxy/port
gcloud config unset proxy/type
gcloud config unset auth/disable_ssl_validation
gcloud config unset core/custom_ca_certs_file

OAuth-token konfigureer in gcloud

Om 'n uitgeputte diensrekening OAuth-token van die metadata-eindpunt te gebruik kan jy net doen:

# Via env vars
export CLOUDSDK_AUTH_ACCESS_TOKEN=<token>
gcloud projects list

# Via setup
echo "<token>" > /some/path/to/token
gcloud config set auth/access_token_file /some/path/to/token
gcloud projects list
gcloud config unset auth/access_token_file

Verwysings

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/