GCP - local privilege escalation ssh pivoting

in hierdie scenario gaan ons veronderstel dat jy 'n nie-voorreg rekening gecompromitteer het binne 'n VM in 'n Compute Engine projek.

Verbazingwekkend, GPC toestemmings van die compute engine wat jy gecompromitteer het, mag jou help om plaaslik voorregte binne 'n masjien te verhoog. Alhoewel dit nie altyd baie nuttig sal wees in 'n wolkomgewing nie, is dit goed om te weet dit is moontlik.

Lees die skripte

Compute Instances is waarskynlik daar om sekere skripte uit te voer om aksies met hul diensrekeninge te verrig.

Aangesien IAM baie gedetailleerd is, kan 'n rekening lees/skryf voorregte oor 'n hulpbron hê, maar geen lys voorregte nie.

'n Goeie hipotetiese voorbeeld hiervan is 'n Compute Instance wat toestemming het om rugsteun te lees/skryf na 'n stoor emmer genaamd instance82736-long-term-xyz-archive-0332893.

Wanneer jy gsutil ls vanaf die opdraglyn uitvoer, kom daar niks terug nie, aangesien die diensrekening die storage.buckets.list IAM toestemming ontbreek. As jy egter gsutil ls gs://instance82736-long-term-xyz-archive-0332893 uitvoer, mag jy 'n volledige lêerstelselsrugsteun vind, wat jou duidelike toegang tot data gee wat jou plaaslike Linux rekening ontbreek.

Jy mag in staat wees om hierdie emmernaam binne 'n skrip te vind (in bash, Python, Ruby...).

Aangepaste Metadata

Administrateurs kan aangepaste metadata by die instansie en projekvlak voeg. Dit is eenvoudig 'n manier om arbitraire sleutel/waarde pare in 'n instansie oor te dra, en word algemeen gebruik vir omgewing veranderlikes en opstart/afskakel skripte.

Boonop is dit moontlik om userdata toe te voeg, wat 'n skrip is wat elke keer uitgevoer sal word wanneer die masjien begin of herbegin word en wat ook van die metadata eindpunt verkry kan word.

Vir meer inligting, kyk:

Misbruik van IAM toestemmings

Meeste van die volgende voorgestelde toestemmings word aan die standaard Compute SA gegee, die enigste probleem is dat die standaard toegangskop die SA verhinder om dit te gebruik. As egter cloud-platform omvang geaktiveer is of net die compute omvang geaktiveer is, sal jy in staat wees om dit te misbruik.

Kyk na die volgende toestemmings:

• compute.instances.osLogin

• compute.instances.osAdminLogin

• compute.projects.setCommonInstanceMetadata

• compute.instances.setMetadata

• compute.instances.setIamPolicy

Soek na Sleutels in die lêerstelsel

Kyk of ander gebruikers in gcloud binne die boks aangemeld het en hul akrediteer in die lêerstelsel gelaat het:

sudo find / -name "gcloud"

Hierdie is die mees interessante lêers:

• ~/.config/gcloud/credentials.db

• ~/.config/gcloud/legacy_credentials/[ACCOUNT]/adc.json

• ~/.config/gcloud/legacy_credentials/[ACCOUNT]/.boto

• ~/.credentials.json

Meer API Sleutels regexes

TARGET_DIR="/path/to/whatever"

# Service account keys
grep -Pzr "(?s){[^{}]*?service_account[^{}]*?private_key.*?}" \
"$TARGET_DIR"

# Legacy GCP creds
grep -Pzr "(?s){[^{}]*?client_id[^{}]*?client_secret.*?}" \
"$TARGET_DIR"

# Google API keys
grep -Pr "AIza[a-zA-Z0-9\\-_]{35}" \
"$TARGET_DIR"

# Google OAuth tokens
grep -Pr "ya29\.[a-zA-Z0-9_-]{100,200}" \
"$TARGET_DIR"

# Generic SSH keys
grep -Pzr "(?s)-----BEGIN[ A-Z]*?PRIVATE KEY[a-zA-Z0-9/\+=\n-]*?END[ A-Z]*?PRIVATE KEY-----" \
"$TARGET_DIR"

# Signed storage URLs
grep -Pir "storage.googleapis.com.*?Goog-Signature=[a-f0-9]+" \
"$TARGET_DIR"

# Signed policy documents in HTML
grep -Pzr '(?s)<form action.*?googleapis.com.*?name="signature" value=".*?">' \
"$TARGET_DIR"

Verwysings

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/