GCP Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Antes de comenzar el pentesting de un GCP ambiente, hay algunas cosas básicas que necesitas saber sobre cómo funciona para ayudarte a entender qué necesitas hacer, cómo encontrar configuraciones incorrectas y cómo explotarlas.
Conceptos como organización, permisos y otros conceptos básicos se explican en:
Para auditar un ambiente de GCP es muy importante saber: qué servicios se están utilizando, qué está siendo expuesto, quién tiene acceso a qué, y cómo están conectados los servicios internos de GCP y los servicios externos.
Desde el punto de vista de un Red Team, el primer paso para comprometer un ambiente de GCP es lograr obtener algunas credenciales. Aquí tienes algunas ideas sobre cómo hacerlo:
Filtraciones en github (o similar) - OSINT
Ingeniería Social (Consulta la página Workspace Security)
Reutilización de contraseñas (filtraciones de contraseñas)
Vulnerabilidades en Aplicaciones Alojadas en GCP
Server Side Request Forgery con acceso al endpoint de metadatos
Lectura de Archivos Locales
/home/USERNAME/.config/gcloud/*
C:\Users\USERNAME\.config\gcloud\*
terceros comprometidos
Empleado Interno
O comprometiendo un servicio no autenticado expuesto:
O si estás haciendo una revisión podrías simplemente pedir credenciales con estos roles:
Después de haber logrado obtener credenciales, necesitas saber a quién pertenecen esas credenciales, y a qué tienen acceso, así que necesitas realizar alguna enumeración básica:
Para más información sobre cómo enumerar metadatos de GCP consulta la siguiente página de hacktricks:
En GCP puedes intentar varias opciones para tratar de adivinar quién eres:
También puedes usar el endpoint de la API /userinfo
para obtener más información sobre el usuario:
Si tienes suficientes permisos, verificar los privilegios de cada entidad dentro de la cuenta de GCP te ayudará a entender qué puedes hacer tú y otras identidades y cómo escalar privilegios.
Si no tienes suficientes permisos para enumerar IAM, puedes robarlos mediante fuerza bruta para averiguarlos. Consulta cómo hacer la enumeración y la fuerza bruta en:
Ahora que tienes algo de información sobre tus credenciales (y si eres un equipo rojo, espero que no hayas sido detectado). Es hora de averiguar qué servicios se están utilizando en el entorno. En la siguiente sección puedes consultar algunas formas de enumerar algunos servicios comunes.
GCP tiene una asombrosa cantidad de servicios, en la siguiente página encontrarás información básica, cheatsheets de enumeración, cómo evitar la detección, obtener persistencia y otros trucos de post-explotación sobre algunos de ellos:
Ten en cuenta que no necesitas realizar todo el trabajo manualmente, a continuación en esta publicación puedes encontrar una sección sobre herramientas automáticas.
Además, en esta etapa podrías haber descubierto más servicios expuestos a usuarios no autenticados, podrías ser capaz de explotarlos:
La forma más común una vez que has obtenido algunas credenciales de la nube o has comprometido algún servicio que se ejecuta dentro de la nube es abusar de los privilegios mal configurados que puede tener la cuenta comprometida. Así que, lo primero que debes hacer es enumerar tus privilegios.
Además, durante esta enumeración, recuerda que los permisos pueden establecerse en el nivel más alto de "Organización" también.
Mientras enumerabas los servicios de GCP, podrías haber encontrado algunos de ellos exponiendo elementos a Internet (puertos de VM/Contenedores, bases de datos o servicios de cola, instantáneas o buckets...). Como pentester/equipo rojo, siempre deberías verificar si puedes encontrar información sensible / vulnerabilidades en ellos, ya que podrían proporcionarte acceso adicional a la cuenta de AWS.
En este libro deberías encontrar información sobre cómo encontrar servicios de GCP expuestos y cómo verificarlos. Sobre cómo encontrar vulnerabilidades en servicios de red expuestos, te recomendaría buscar el servicio específico en:
Comprometer principios en una plataforma podría permitir a un atacante comprometer la otra, consúltalo en:
En la consola de GCloud, en https://console.cloud.google.com/iam-admin/asset-inventory/dashboard puedes ver recursos e IAMs que se utilizan por proyecto.
Aquí puedes ver los activos soportados por esta API: https://cloud.google.com/asset-inventory/docs/supported-asset-types
Consulta herramientas que pueden ser utilizadas en varias nubes aquí.
gcp_scanner: Este es un escáner de recursos de GCP que puede ayudar a determinar qué nivel de acceso poseen ciertas credenciales en GCP.
gcp_enum: Script de Bash para enumerar un entorno de GCP utilizando gcloud cli y guardar los resultados en un archivo.
GCP-IAM-Privilege-Escalation: Scripts para enumerar altos privilegios de IAM y para escalar privilegios en GCP abusando de ellos (no pude hacer que se ejecutara el script de enumeración).
BF My GCP Permissions: Script para forzar tus permisos.
Recuerda que puedes usar el parámetro --log-http
con la gcloud
cli para imprimir las solicitudes que la herramienta está realizando. Si no deseas que los registros redacten el valor del token, usa gcloud config set log_http_redact_token false
Además, para interceptar la comunicación:
Para usar un token OAuth de cuenta de servicio exfiltrado desde el endpoint de metadatos simplemente puedes hacer:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)