GCP - Cloudbuild Privesc

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

cloudbuild

Vir meer inligting oor Cloud Build kyk:

GCP - Cloud Build Enum

`cloudbuild.builds.create`

Met hierdie toestemming kan jy 'n cloud build indien. Die cloudbuild masjien sal in sy lêerstelsel standaard 'n token van die cloudbuild Service Account hê: <PROJECT_NUMBER>@cloudbuild.gserviceaccount.com. Jy kan egter enige diensrekening binne die projek in die cloudbuild konfigurasie aandui. Daarom kan jy net die masjien laat uitvloe na jou bediener die token of 'n omgekeerde shell binne dit kry en die token vir jouself kry (die lêer wat die token bevat kan verander).

Jy kan die oorspronklike eksploit script hier op GitHub vind (maar die plek waar dit die token vandaan neem het nie vir my gewerk nie). Kyk dus na 'n script om die skepping, eksploit en skoonmaak van 'n kwesbare omgewing hier te outomatiseer en 'n python script om 'n omgekeerde shell binne die cloudbuild masjien te kry en dit hier te steel (in die kode kan jy vind hoe om ander diensrekeninge te spesifiseer).

Vir 'n meer diepgaande verduideliking, besoek https://rhinosecuritylabs.com/gcp/iam-privilege-escalation-gcp-cloudbuild/

`cloudbuild.builds.update`

Potensieel met hierdie toestemming sal jy in staat wees om 'n cloud build op te dateer en net die diensrekening token te steel soos dit met die vorige toestemming uitgevoer is (maar ongelukkig kon ek tydens die skryf hiervan nie enige manier vind om daardie API aan te roep nie).

TODO

`cloudbuild.repositories.accessReadToken`

Met hierdie toestemming kan die gebruiker die lees toegang token kry wat gebruik word om toegang tot die repository te verkry:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadToken"

`cloudbuild.repositories.accessReadWriteToken`

Met hierdie toestemming kan die gebruiker die lees- en skryftoegangstoken verkry wat gebruik word om toegang tot die repository te verkry:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadWriteToken"

`cloudbuild.connections.fetchLinkableRepositories`

Met hierdie toestemming kan jy die repos verkry waartoe die verbinding toegang het:

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>:fetchLinkableRepositories"

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

PreviousGCP - ClientAuthConfig Privesc NextGCP - Cloudfunctions Privesc

Last updated 3 days ago