GCP - Workflows Privesc
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Basiese Inligting:
GCP - Workflows Enumworkflows.workflows.create
, iam.serviceAccounts.ActAs
, workflows.executions.create
, (workflows.workflows.get
, workflows.operations.get
)Soos ek weet, is dit nie moontlik om 'n shell te kry met toegang tot die metadata-eindpunt wat die SA-akkrediteer van die SA wat aan 'n Workflow aangeheg is, bevat nie. Dit is egter moontlik om die toestemmings van die SA te misbruik deur die aksies wat binne die Workflow uitgevoer moet word, by te voeg.
Dit is moontlik om die dokumentasie van die connectors te vind. Byvoorbeeld, dit is die bladsy van die Secretmanager connector. In die sybalk is dit moontlik om verskeie ander connectors te vind.
En hier kan jy 'n voorbeeld van 'n connector vind wat 'n geheim druk:
Opdateer vanaf die CLI:
As jy 'n fout soos ERROR: (gcloud.workflows.deploy) FAILED_PRECONDITION: Workflows service agent does not exist
kry, wag net 'n minuut en probeer weer.
As jy nie webtoegang het nie, is dit moontlik om 'n Workflow te aktiveer en die uitvoering te sien met:
Jy kan ook die uitvoer van vorige uitvoerings nagaan om sensitiewe inligting te soek
Let daarop dat selfs al kry jy 'n fout soos PERMISSION_DENIED: Permission 'workflows.operations.get' denied on...
omdat jy nie daardie toestemming het nie, is die werksvloei gegenereer.
Volgens die dokumentasie is dit moontlik om werksvloei-stappe te gebruik wat 'n HTTP-versoek sal stuur met die OAuth of OIDC-token. Maar, net soos in die geval van Cloud Scheduler, moet die HTTP-versoek met die Oauth-token na die gasheer .googleapis.com
wees.
Daarom is dit moontlik om die OIDC-token te lek deur 'n HTTP-eindpunt aan te dui wat deur die gebruiker beheer word, maar om die OAuth-token te lek, sal jy 'n omseiling vir daardie beskerming benodig. Tog is jy steeds in staat om enige GCP-api te kontak om aksies namens die SA uit te voer deur middel van ofwel verbindings of HTTP-versoeke met die OAuth-token.
workflows.workflows.update
...Met hierdie toestemming in plaas van workflows.workflows.create
is dit moontlik om 'n reeds bestaande workflow op te dateer en dieselfde aanvalle uit te voer.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)