GCP - KMS Privesc
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Informationen über KMS:
GCP - KMS EnumBeachte, dass in KMS die Berechtigungen nicht nur von Organisationen, Ordnern und Projekten vererbt werden, sondern auch von Keyrings.
cloudkms.cryptoKeyVersions.useToDecrypt
Du kannst diese Berechtigung verwenden, um Informationen mit dem Schlüssel zu entschlüsseln, über den du diese Berechtigung hast.
cloudkms.cryptoKeys.setIamPolicy
Ein Angreifer mit dieser Berechtigung könnte sich selbst Berechtigungen geben, um den Schlüssel zur Entschlüsselung von Informationen zu verwenden.
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
Hier ist eine konzeptionelle Aufschlüsselung, wie diese Delegation funktioniert:
Dienstkonto A hat direkten Zugriff auf die Entschlüsselung mit einem bestimmten Schlüssel in KMS.
Dienstkonto B erhält die Berechtigung useToDecryptViaDelegation
. Dies ermöglicht es, KMS zu bitten, Daten im Namen von Dienstkonto A zu entschlüsseln.
Die Verwendung dieser Berechtigung ist implizit in der Art und Weise, wie der KMS-Dienst Berechtigungen überprüft, wenn eine Entschlüsselungsanfrage gestellt wird.
Wenn Sie eine standardmäßige Entschlüsselungsanfrage über die Google Cloud KMS API (in Python oder einer anderen Sprache) stellen, überprüft der Dienst, ob das anfragende Dienstkonto die erforderlichen Berechtigungen hat. Wenn die Anfrage von einem Dienstkonto mit der useToDecryptViaDelegation
-Berechtigung gestellt wird, überprüft KMS, ob dieses Konto berechtigt ist, die Entschlüsselung im Namen der Entität, die den Schlüssel besitzt, anzufordern.
Definieren Sie die benutzerdefinierte Rolle: Erstellen Sie eine YAML-Datei (z. B. custom_role.yaml
), die die benutzerdefinierte Rolle definiert. Diese Datei sollte die Berechtigung cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
enthalten. Hier ist ein Beispiel, wie diese Datei aussehen könnte:
Erstellen Sie die benutzerdefinierte Rolle mit der gcloud CLI: Verwenden Sie den folgenden Befehl, um die benutzerdefinierte Rolle in Ihrem Google Cloud-Projekt zu erstellen:
Ersetzen Sie [YOUR_PROJECT_ID]
durch Ihre Google Cloud-Projekt-ID.
Gewähren Sie die benutzerdefinierte Rolle einem Dienstkonto: Weisen Sie Ihr benutzerdefiniertes Rolle einem Dienstkonto zu, das diese Berechtigung verwenden wird. Verwenden Sie den folgenden Befehl:
Ersetzen Sie [YOUR_PROJECT_ID]
und [SERVICE_ACCOUNT_EMAIL]
durch Ihre Projekt-ID und die E-Mail des Dienstkontos.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)