GCP - AppEngine Privesc

App Engine

Για περισσότερες πληροφορίες σχετικά με το App Engine, ελέγξτε:

appengine.applications.get, appengine.instances.get, appengine.instances.list, appengine.operations.get, appengine.operations.list, appengine.services.get, appengine.services.list, appengine.versions.create, appengine.versions.get, appengine.versions.list, cloudbuild.builds.get,iam.serviceAccounts.actAs, resourcemanager.projects.get, storage.objects.create, storage.objects.list

Αυτές είναι οι απαραίτητες άδειες για να αναπτύξετε μια εφαρμογή χρησιμοποιώντας το gcloud cli. Ίσως οι get και list να μπορούν να αποφευχθούν.

Μπορείτε να βρείτε παραδείγματα κώδικα python στο https://github.com/GoogleCloudPlatform/python-docs-samples/tree/main/appengine

Από προεπιλογή, το όνομα της υπηρεσίας App θα είναι default, και μπορεί να υπάρχει μόνο 1 instance με το ίδιο όνομα. Για να το αλλάξετε και να δημιουργήσετε μια δεύτερη εφαρμογή, στο app.yaml, αλλάξτε την τιμή του ριζικού κλειδιού σε κάτι όπως service: my-second-app

cd python-docs-samples/appengine/flexible/hello_world
gcloud app deploy #Upload and start application inside the folder

Δώστε του τουλάχιστον 10-15 λεπτά, αν δεν λειτουργήσει καλέστε deploy another of times και περιμένετε μερικά λεπτά.

Η διεύθυνση URL της εφαρμογής είναι κάτι σαν https://<proj-name>.oa.r.appspot.com/ ή https://<service_name>-dot-<proj-name>.oa.r.appspot.com

Ενημέρωση ισοδύναμων δικαιωμάτων

Μπορεί να έχετε αρκετά δικαιώματα για να ενημερώσετε ένα AppEngine αλλά όχι για να δημιουργήσετε ένα νέο. Σε αυτή την περίπτωση, αυτός είναι ο τρόπος που μπορείτε να ενημερώσετε το τρέχον App Engine:

# Find the code of the App Engine in the buckets
gsutil ls

# Download code
mkdir /tmp/appengine2
cd /tmp/appengine2
## In this case it was found in this custom bucket but you could also use the
## buckets generated when the App Engine is created
gsutil cp gs://appengine-lab-1-gcp-labs-4t04m0i6-3a97003354979ef6/labs_appengine_1_premissions_privesc.zip .
unzip labs_appengine_1_premissions_privesc.zip

## Now modify the code..

## If you don't have an app.yaml, create one like:
cat >> app.yaml <<EOF
runtime: python312

entrypoint: gunicorn -b :\$PORT main:app

env_variables:
A_VARIABLE: "value"
EOF

# Deploy the changes
gcloud app deploy

# Update the SA if you need it (and if you have actas permissions)
gcloud app update --service-account=<sa>@$PROJECT_ID.iam.gserviceaccount.com

Αν έχετε ήδη παραβιάσει ένα AppEngine και έχετε την άδεια appengine.applications.update και actAs πάνω στον λογαριασμό υπηρεσίας που χρησιμοποιείτε, μπορείτε να τροποποιήσετε τον λογαριασμό υπηρεσίας που χρησιμοποιείται από το AppEngine με:

gcloud app update --service-account=<sa>@$PROJECT_ID.iam.gserviceaccount.com

appengine.instances.enableDebug, appengine.instances.get, appengine.instances.list, appengine.operations.get, appengine.services.get, appengine.services.list, appengine.versions.get, appengine.versions.list, compute.projects.get

Με αυτές τις άδειες, είναι δυνατό να συνδεθείτε μέσω ssh σε App Engine instances τύπου flexible (όχι standard). Ορισμένες από τις list και get άδειες μπορεί να μην είναι πραγματικά απαραίτητες.

gcloud app instances ssh --service <app-name> --version <version-id> <ID>

appengine.applications.update, appengine.operations.get

Νομίζω ότι αυτό απλώς αλλάζει το background SA που θα χρησιμοποιήσει η Google για να ρυθμίσει τις εφαρμογές, οπότε δεν νομίζω ότι μπορείτε να το εκμεταλλευτείτε για να κλέψετε τον λογαριασμό υπηρεσίας.

gcloud app update --service-account=<sa_email>

appengine.versions.getFileContents, appengine.versions.update

Δεν είμαι σίγουρος πώς να χρησιμοποιήσω αυτές τις άδειες ή αν είναι χρήσιμες (σημειώστε ότι όταν αλλάξετε τον κώδικα δημιουργείται μια νέα έκδοση, οπότε δεν ξέρω αν μπορείτε απλώς να ενημερώσετε τον κώδικα ή τον ρόλο IAM ενός, αλλά υποθέτω ότι θα πρέπει να μπορείτε, ίσως αλλάζοντας τον κώδικα μέσα στον κάδο??).

Πρόσβαση εγγραφής στους κάδους

Όπως αναφέρθηκε, οι εκδόσεις appengine δημιουργούν κάποια δεδομένα μέσα σε έναν κάδο με τη μορφή ονόματος: staging.<project-id>.appspot.com. Σημειώστε ότι δεν είναι δυνατή η προ-κατάληψη αυτού του κάδου επειδή οι χρήστες GCP δεν είναι εξουσιοδοτημένοι να δημιουργούν κάδους χρησιμοποιώντας το όνομα τομέα appspot.com.

Ωστόσο, με πρόσβαση ανάγνωσης και εγγραφής σε αυτόν τον κάδο, είναι δυνατή η κλιμάκωση των δικαιωμάτων στον SA που είναι συνδεδεμένος με την έκδοση AppEngine παρακολουθώντας τον κάδο και κάθε φορά που γίνεται μια αλλαγή, να τροποποιείτε όσο το δυνατόν πιο γρήγορα τον κώδικα. Με αυτόν τον τρόπο, το κοντέινερ που δημιουργείται από αυτόν τον κώδικα θα εκτελεί τον κώδικα με backdoor.

Για περισσότερες πληροφορίες και μια PoC ελέγξτε τις σχετικές πληροφορίες από αυτή τη σελίδα:

Πρόσβαση εγγραφής στο Artifact Registry

Ακόμα και αν το App Engine δημιουργεί εικόνες docker μέσα στο Artifact Registry. Δοκιμάστηκε ότι ακόμα και αν τροποποιήσετε την εικόνα μέσα σε αυτή την υπηρεσία και αφαιρέσετε την παρουσία App Engine (έτσι αναπτύσσεται μια νέα) ο εκτελούμενος κώδικας δεν αλλάζει. Είναι πιθανό ότι εκτελώντας μια επίθεση Race Condition όπως με τους κάδους μπορεί να είναι δυνατή η αντικατάσταση του εκτελούμενου κώδικα, αλλά αυτό δεν δοκιμάστηκε.