GCP - local privilege escalation ssh pivoting

σε αυτό το σενάριο θα υποθέσουμε ότι έχετε παραβιάσει έναν λογαριασμό χωρίς δικαιώματα μέσα σε μια VM σε ένα έργο Compute Engine.

Απίστευτα, οι άδειες GPC του compute engine που έχετε παραβιάσει μπορεί να σας βοηθήσουν να εκμεταλλευτείτε τα δικαιώματα τοπικά μέσα σε μια μηχανή. Ακόμα και αν αυτό δεν θα είναι πάντα πολύ χρήσιμο σε ένα περιβάλλον cloud, είναι καλό να γνωρίζετε ότι είναι δυνατό.

Διαβάστε τα σενάρια

Compute Instances είναι πιθανό να υπάρχουν για να εκτελούν κάποια σενάρια για να εκτελούν ενέργειες με τους λογαριασμούς υπηρεσιών τους.

Καθώς το IAM είναι πολύ λεπτομερές, ένας λογαριασμός μπορεί να έχει δικαιώματα ανάγνωσης/εγγραφής σε έναν πόρο αλλά χωρίς δικαιώματα λίστας.

Ένα εξαιρετικό υποθετικό παράδειγμα αυτού είναι μια Compute Instance που έχει άδεια να διαβάζει/γράφει αντίγραφα ασφαλείας σε έναν αποθηκευτικό κάδο που ονομάζεται instance82736-long-term-xyz-archive-0332893.

Η εκτέλεση του gsutil ls από τη γραμμή εντολών δεν επιστρέφει τίποτα, καθώς ο λογαριασμός υπηρεσίας στερείται της άδειας IAM storage.buckets.list. Ωστόσο, αν εκτελέσετε gsutil ls gs://instance82736-long-term-xyz-archive-0332893 μπορεί να βρείτε ένα πλήρες αντίγραφο ασφαλείας του συστήματος αρχείων, δίνοντάς σας πρόσβαση σε δεδομένα σε καθαρό κείμενο που λείπουν από τον τοπικό λογαριασμό Linux σας.

Μπορείτε να βρείτε αυτό το όνομα κάδου μέσα σε ένα σενάριο (σε bash, Python, Ruby...).

Προσαρμοσμένα Μεταδεδομένα

Οι διαχειριστές μπορούν να προσθέσουν προσαρμοσμένα μεταδεδομένα σε επίπεδο παραδείγματος και έργου. Αυτό είναι απλώς ένας τρόπος για να περάσετε τυχαία ζεύγη κλειδιού/τιμής σε μια μηχανή, και χρησιμοποιείται συνήθως για μεταβλητές περιβάλλοντος και σενάρια εκκίνησης/τερματισμού.

Επιπλέον, είναι δυνατό να προσθέσετε userdata, το οποίο είναι ένα σενάριο που θα εκτελείται κάθε φορά που η μηχανή ξεκινά ή επανεκκινείται και που μπορεί να προσεγγιστεί από το σημείο μεταδεδομένων επίσης.

Για περισσότερες πληροφορίες ελέγξτε:

Κατάχρηση αδειών IAM

Οι περισσότερες από τις παρακάτω προτεινόμενες άδειες δίνονται στον προεπιλεγμένο Compute SA, το μόνο πρόβλημα είναι ότι η προεπιλεγμένη έκταση πρόσβασης εμποδίζει τον SA να τις χρησιμοποιήσει. Ωστόσο, αν είναι ενεργοποιημένη η έκταση cloud-platform ή απλώς η έκταση compute, θα μπορείτε να τις καταχραστείτε.

Ελέγξτε τις παρακάτω άδειες:

• compute.instances.osLogin

• compute.instances.osAdminLogin

• compute.projects.setCommonInstanceMetadata

• compute.instances.setMetadata

• compute.instances.setIamPolicy

Αναζητήστε Κλειδιά στο σύστημα αρχείων

Ελέγξτε αν άλλοι χρήστες έχουν συνδεθεί στο gcloud μέσα στο κουτί και έχουν αφήσει τα διαπιστευτήριά τους στο σύστημα αρχείων:

sudo find / -name "gcloud"

Αυτά είναι τα πιο ενδιαφέροντα αρχεία:

• ~/.config/gcloud/credentials.db

• ~/.config/gcloud/legacy_credentials/[ACCOUNT]/adc.json

• ~/.config/gcloud/legacy_credentials/[ACCOUNT]/.boto

• ~/.credentials.json

Περισσότερες κανονικές εκφράσεις για API Keys

TARGET_DIR="/path/to/whatever"

# Service account keys
grep -Pzr "(?s){[^{}]*?service_account[^{}]*?private_key.*?}" \
"$TARGET_DIR"

# Legacy GCP creds
grep -Pzr "(?s){[^{}]*?client_id[^{}]*?client_secret.*?}" \
"$TARGET_DIR"

# Google API keys
grep -Pr "AIza[a-zA-Z0-9\\-_]{35}" \
"$TARGET_DIR"

# Google OAuth tokens
grep -Pr "ya29\.[a-zA-Z0-9_-]{100,200}" \
"$TARGET_DIR"

# Generic SSH keys
grep -Pzr "(?s)-----BEGIN[ A-Z]*?PRIVATE KEY[a-zA-Z0-9/\+=\n-]*?END[ A-Z]*?PRIVATE KEY-----" \
"$TARGET_DIR"

# Signed storage URLs
grep -Pir "storage.googleapis.com.*?Goog-Signature=[a-f0-9]+" \
"$TARGET_DIR"

# Signed policy documents in HTML
grep -Pzr '(?s)<form action.*?googleapis.com.*?name="signature" value=".*?">' \
"$TARGET_DIR"

Αναφορές

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/