GCP - KMS Privesc

学习和实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 分享黑客技巧。

KMS

关于 KMS 的信息：

GCP - KMS Enum

请注意，在 KMS 中，权限不仅从组织、文件夹和项目继承，还从 密钥环 继承。

`cloudkms.cryptoKeyVersions.useToDecrypt`

您可以使用此权限来 使用您拥有此权限的密钥解密信息。

gcloud kms decrypt \
--location=[LOCATION] \
--keyring=[KEYRING_NAME] \
--key=[KEY_NAME] \
--version=[KEY_VERSION] \
--ciphertext-file=[ENCRYPTED_FILE_PATH] \
--plaintext-file=[DECRYPTED_FILE_PATH]

`cloudkms.cryptoKeys.setIamPolicy`

拥有此权限的攻击者可以授予自己权限以使用密钥解密信息。

gcloud kms keys add-iam-policy-binding [KEY_NAME] \
--location [LOCATION] \
--keyring [KEYRING_NAME] \
--member [MEMBER] \
--role roles/cloudkms.cryptoKeyDecrypter

`cloudkms.cryptoKeyVersions.useToDecryptViaDelegation`

这是关于此委托如何工作的概念性分解：

服务账户 A 直接访问 KMS 中使用特定密钥进行解密。
服务账户 B 被授予 useToDecryptViaDelegation 权限。这使其能够代表服务账户 A 请求 KMS 解密数据。

此 权限的使用在 KMS 服务检查权限时是隐式的，当发出解密请求时。

当您使用 Google Cloud KMS API（在 Python 或其他语言中）发出标准解密请求时，服务 检查请求的服务账户是否具有必要的权限。如果请求是由具有 useToDecryptViaDelegation 权限的服务账户发出的，KMS 会验证该 账户是否被允许代表拥有密钥的实体请求解密。

设置委托

定义自定义角色：创建一个 YAML 文件（例如，custom_role.yaml），定义自定义角色。该文件应包括 cloudkms.cryptoKeyVersions.useToDecryptViaDelegation 权限。以下是该文件可能的示例：

title: "KMS Decryption via Delegation"
description: "Allows decryption via delegation"
stage: "GA"
includedPermissions:
- "cloudkms.cryptoKeyVersions.useToDecryptViaDelegation"

使用 gcloud CLI 创建自定义角色：使用以下命令在您的 Google Cloud 项目中创建自定义角色：

gcloud iam roles create kms_decryptor_via_delegation --project [YOUR_PROJECT_ID] --file custom_role.yaml

将 [YOUR_PROJECT_ID] 替换为您的 Google Cloud 项目 ID。

将自定义角色授予服务账户：将您的自定义角色分配给将使用此权限的服务账户。使用以下命令：

# Give this permission to the service account to impersonate
gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member "serviceAccount:[SERVICE_ACCOUNT_B_EMAIL]" \
--role "projects/[PROJECT_ID]/roles/[CUSTOM_ROLE_ID]"

# Give this permission over the project to be able to impersonate any SA
gcloud projects add-iam-policy-binding [YOUR_PROJECT_ID] \
--member="serviceAccount:[SERVICE_ACCOUNT_EMAIL]" \
--role="projects/[YOUR_PROJECT_ID]/roles/kms_decryptor_via_delegation"

将 [YOUR_PROJECT_ID] 和 [SERVICE_ACCOUNT_EMAIL] 分别替换为您的项目 ID 和服务帐户的电子邮件。

学习与实践 AWS Hacking：HackTricks Training AWS Red Team Expert (ARTE) 学习与实践 GCP Hacking：HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 上关注我们 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

PreviousGCP - IAM Privesc NextGCP - Orgpolicy Privesc

Last updated 1 month ago