GCP - Filestore Enum
Basiese Inligting
Google Cloud Filestore is 'n bestuurde lêerbergingdiens wat geskik is vir toepassings wat beide 'n lêersisteemkoppelvlak en 'n gedeelde lêersisteem vir data benodig. Hierdie diens blink uit deur hoë prestasie-lêerdeling aan te bied, wat geïntegreer kan word met verskeie GCP-diens. Dit is nuttig in situasies waar tradisionele lêersisteemkoppelvlakke en semantiek krities is, soos in mediaverwerking, inhoudsbestuur, en die rugsteun van databasisse.
Jy kan hierdie sien as enige ander NFS gedeelde dokumenterepositorium - 'n potensiële bron van sensitiewe inligting.
Verbindings
Wanneer 'n Filestore-instantie geskep word, is dit moontlik om die netwerk waar dit toeganklik gaan wees te kies.
Verder, standaard sal alle kliënte op die gekose VPC-netwerk en -streek daartoe in staat wees om toegang te verkry, maar dit is moontlik om die toegang ook te beperk deur IP-adres of reeks en die toegangsreg (Admin, Admin Viewer, Editor, Viewer) aan te dui wat die kliënt gaan kry afhangende van die IP-adres.
Dit kan ook toeganklik wees via 'n Privaat Diens Toegangsverbindings:
Is per VPC-netwerk en kan gebruik word oor alle bestuurde dienste soos Memorystore, Tensorflow en SQL.
Is tussen jou VPC-netwerk en 'n netwerk wat deur Google besit word deur 'n VPC-koppeling te gebruik, wat jou instansies en dienste in staat stel om eksklusief te kommunikeer deur gebruik te maak van interne IP-adresse.
Skep 'n geïsoleerde projek vir jou aan die diensvervaardigerkant, wat beteken dat geen ander kliënte dit deel nie. Jy sal slegs gefaktureer word vir die hulpbronne wat jy voorsien.
Die VPC-koppeling sal nuwe roetes na jou VPC invoer
Rugsteune
Dit is moontlik om rugsteune van die Lêerdelings te skep. Hierdie kan later herstel word in die oorsprong nuwe Lêerdelingsinstantie of in nuwes.
Versleuteling
Standaard sal 'n Google-bestuurde versleutelingssleutel gebruik word om die data te versleutel, maar dit is moontlik om 'n Kliëntbestuurde versleutelingssleutel (CMEK) te kies.
Enumerasie
As jy 'n filestore beskikbaar vind in die projek, kan jy dit aankoppel van binne jou gekompromitteerde Rekeninstansie. Gebruik die volgende bevel om te sien of enige bestaan.
Let wel dat 'n lêerstoor-diens dalk in 'n heeltemal nuwe subnetwerk geskep vir dit kan wees (binne 'n Privaat Diens Toegangsverbinding, wat 'n VPC-paar is). Jy sal dus ook VPC-pare moet opnoem om nmap oor daardie netwerkreeks uit te voer.
Bevoorregte Eskalasie & Post Exploitation
Daar is nie maniere om voorregte in GCP direk te eskaleer deur hierdie diens te misbruik nie, maar deur van Post Exploitation truuks gebruik te maak is dit moontlik om toegang tot die data te kry en miskien kan jy sekere geloofsbriewe vind om voorregte te eskaleer:
Volharding
Last updated