GCP - Run Privesc
Last updated
Last updated
Lernen & üben Sie AWS Hacking: Lernen & üben Sie GCP Hacking:
Für weitere Informationen zu Cloud Run siehe:
run.services.create , iam.serviceAccounts.actAs, run.routes.invokeEin Angreifer mit diesen Berechtigungen kann einen Run-Dienst erstellen, der beliebigen Code ausführt (beliebiges Docker-Container), ein Dienstkonto daran anhängen und den Code das Dienstkonto-Token aus den Metadaten exfiltrieren lassen.
Ein Exploit-Skript für diese Methode finden Sie und das Docker-Image finden Sie .
Beachten Sie, dass beim Verwenden von gcloud run deploy anstelle der bloßen Erstellung des Dienstes die Berechtigung update erforderlich ist. Überprüfen Sie ein .
run.services.update , iam.serviceAccounts.actAsWie der vorherige, aber zum Aktualisieren eines Dienstes:
run.services.setIamPolicyGeben Sie sich vorherige Berechtigungen über Cloud Run.
run.jobs.create, run.jobs.run, iam.serviceaccounts.actAs,(run.jobs.get)run.jobs.update,run.jobs.run,iam.serviceaccounts.actAs,(run.jobs.get)Ähnlich wie beim vorherigen ist es möglich, einen Job zu aktualisieren und das SA zu aktualisieren, den Befehl und auszuführen:
run.jobs.setIamPolicyGeben Sie sich die vorherigen Berechtigungen für Cloud Jobs.
run.jobs.run, run.jobs.runWithOverrides, (run.jobs.get)Missbrauchen Sie die Umgebungsvariablen einer Jobausführung, um beliebigen Code auszuführen und eine Reverse-Shell zu erhalten, um den Inhalt des Containers (Quellcode) zu dumpen und auf die SA in den Metadaten zuzugreifen:
Starten Sie einen Job mit einer Reverse-Shell, um das im Befehl angegebene Dienstkonto zu stehlen. Sie finden einen .
Lerne & übe AWS Hacking: Lerne & übe GCP Hacking:
Überprüfe die !
Tritt der 💬 oder der bei oder folge uns auf Twitter 🐦 .
Teile Hacking-Tricks, indem du PRs zu den und GitHub-Repos einreichst.
