GCP - AppEngine Privesc

App Engine

Vir meer inligting oor App Engine kyk:

appengine.applications.get, appengine.instances.get, appengine.instances.list, appengine.operations.get, appengine.operations.list, appengine.services.get, appengine.services.list, appengine.versions.create, appengine.versions.get, appengine.versions.list, cloudbuild.builds.get,iam.serviceAccounts.actAs, resourcemanager.projects.get, storage.objects.create, storage.objects.list

Dit is die nodige toestemmings om 'n App te ontplooi met gcloud cli. Miskien kan die get en list eenhede vermy word.

Jy kan python kode voorbeelde vind in https://github.com/GoogleCloudPlatform/python-docs-samples/tree/main/appengine

Standaard gaan die naam van die App diens default wees, en daar kan slegs 1 instansie met dieselfde naam wees. Om dit te verander en 'n tweede App te skep, verander die waarde van die wortel sleutel in app.yaml na iets soos service: my-second-app

cd python-docs-samples/appengine/flexible/hello_world
gcloud app deploy #Upload and start application inside the folder

Gee dit ten minste 10-15 minute, as dit nie werk nie, bel ontplooi 'n ander keer en wag 'n paar minute.

Die URL van die toepassing is iets soos https://<proj-name>.oa.r.appspot.com/ of https://<service_name>-dot-<proj-name>.oa.r.appspot.com

Werk gelyke regte op

Jy mag genoeg regte hê om 'n AppEngine op te dateer, maar nie om 'n nuwe een te skep nie. In daardie geval is dit hoe jy die huidige App Engine kan opdateer:

# Find the code of the App Engine in the buckets
gsutil ls

# Download code
mkdir /tmp/appengine2
cd /tmp/appengine2
## In this case it was found in this custom bucket but you could also use the
## buckets generated when the App Engine is created
gsutil cp gs://appengine-lab-1-gcp-labs-4t04m0i6-3a97003354979ef6/labs_appengine_1_premissions_privesc.zip .
unzip labs_appengine_1_premissions_privesc.zip

## Now modify the code..

## If you don't have an app.yaml, create one like:
cat >> app.yaml <<EOF
runtime: python312

entrypoint: gunicorn -b :\$PORT main:app

env_variables:
A_VARIABLE: "value"
EOF

# Deploy the changes
gcloud app deploy

# Update the SA if you need it (and if you have actas permissions)
gcloud app update --service-account=<sa>@$PROJECT_ID.iam.gserviceaccount.com

As jy reeds 'n AppEngine gecompromitteer het en jy het die toestemming appengine.applications.update en actAs oor die diensrekening wat jy kan gebruik, kan jy die diensrekening wat deur AppEngine gebruik word, met die volgende wysig:

gcloud app update --service-account=<sa>@$PROJECT_ID.iam.gserviceaccount.com

appengine.instances.enableDebug, appengine.instances.get, appengine.instances.list, appengine.operations.get, appengine.services.get, appengine.services.list, appengine.versions.get, appengine.versions.list, compute.projects.get

Met hierdie toestemmings is dit moontlik om in te log via ssh in App Engine instansies van tipe flexible (nie standaard nie). Sommige van die list en get toestemmings mag nie werklik nodig wees nie.

gcloud app instances ssh --service <app-name> --version <version-id> <ID>

appengine.applications.update, appengine.operations.get

Ek dink dit verander net die agtergrond SA wat Google sal gebruik om die toepassings op te stel, so ek dink nie jy kan dit misbruik om die diensrekening te steel nie.

gcloud app update --service-account=<sa_email>

appengine.versions.getFileContents, appengine.versions.update

Nie seker hoe om hierdie toestemmings te gebruik of of hulle nuttig is nie (let daarop dat wanneer jy die kode verander, 'n nuwe weergawe geskep word, so ek weet nie of jy net die kode of die IAM-rol van een kan opdateer nie, maar ek raai jy behoort in staat te wees om dit te doen, dalk deur die kode binne die emmer te verander??).

Skryftoegang oor die emmers

Soos genoem, genereer die appengine weergawes 'n paar data binne 'n emmer met die formaat naam: staging.<project-id>.appspot.com. Let daarop dat dit nie moontlik is om hierdie emmer vooraf oor te neem nie, omdat GCP gebruikers nie gemagtig is om emmers te genereer met die domeinnaam appspot.com.

Met lees- en skryftoegang oor hierdie emmer, is dit egter moontlik om voorregte te verhoog na die SA wat aan die AppEngine weergawe geheg is deur die emmer te monitor en enige tyd wanneer 'n verandering uitgevoer word, die kode so vinnig as moontlik te verander. Op hierdie manier sal die houer wat uit hierdie kode geskep word die agterdeurkode uitvoer.

Vir meer inligting en 'n PoC kyk na die relevante inligting van hierdie bladsy:

Skryftoegang oor die Artefak Registrasie

Alhoewel App Engine docker prente binne Artefak Registrasie skep. Dit is getoets dat selfs al jy die prent binne hierdie diens verander en die App Engine instansie verwyder (sodat 'n nuwe een ontplooi word) die kode wat uitgevoer word, nie verander nie. Dit mag moontlik wees dat 'n Race Condition aanval soos met die emmers moontlik is om die uitgevoerde kode te oorskry, maar dit is nie getoets nie.