GCP Pentesting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Avant de commencer le pentesting d'un environnement GCP, il y a quelques choses de base que vous devez savoir sur son fonctionnement pour vous aider à comprendre ce que vous devez faire, comment trouver des erreurs de configuration et comment les exploiter.
Des concepts tels que la hiérarchie d'organisation, les permissions et d'autres concepts de base sont expliqués dans :
GCP - Basic InformationPour auditer un environnement GCP, il est très important de savoir : quels services sont utilisés, ce qui est exposé, qui a accès à quoi, et comment les services internes GCP et les services externes sont connectés.
Du point de vue d'une Red Team, le premier pas pour compromettre un environnement GCP est d'obtenir des identifiants. Voici quelques idées sur comment faire cela :
Fuites sur github (ou similaire) - OSINT
Ingénierie Sociale (Consultez la page Workspace Security)
Réutilisation de mots de passe (fuites de mots de passe)
Vulnérabilités dans les applications hébergées sur GCP
Server Side Request Forgery avec accès au point de terminaison des métadonnées
Lecture de fichiers locaux
/home/USERNAME/.config/gcloud/*
C:\Users\USERNAME\.config\gcloud\*
Tiers compromis
Employé interne
Ou en compromettant un service non authentifié exposé :
GCP - Unauthenticated Enum & AccessOu si vous faites une révision, vous pourriez simplement demander des identifiants avec ces rôles :
GCP - Permissions for a PentestAprès avoir réussi à obtenir des identifiants, vous devez savoir à qui appartiennent ces identifiants, et à quoi ils ont accès, donc vous devez effectuer une énumération de base :
Pour plus d'informations sur la façon d'énumérer les métadonnées GCP, consultez la page hacktricks suivante :
Dans GCP, vous pouvez essayer plusieurs options pour essayer de deviner qui vous êtes :
Vous pouvez également utiliser le point de terminaison API /userinfo
pour obtenir plus d'informations sur l'utilisateur :
Si vous avez suffisamment de permissions, vérifier les privilèges de chaque entité à l'intérieur du compte GCP vous aidera à comprendre ce que vous et d'autres identités pouvez faire et comment escalader les privilèges.
Si vous n'avez pas suffisamment de permissions pour énumérer IAM, vous pouvez les voler par force brute pour les découvrir. Vérifiez comment faire l'énumération et la force brute dans :
GCP - IAM, Principals & Org Policies EnumMaintenant que vous avez des informations sur vos identifiants (et si vous êtes une équipe rouge, espérons que vous n'avez pas été détecté). Il est temps de déterminer quels services sont utilisés dans l'environnement. Dans la section suivante, vous pouvez vérifier quelques façons d'énumérer certains services courants.
GCP a un nombre étonnant de services, dans la page suivante vous trouverez des informations de base, des cheatsheets d'énumération, comment éviter la détection, obtenir de la persistance, et d'autres astuces de post-exploitation à propos de certains d'entre eux :
GCP - ServicesNotez que vous n'avez pas besoin d'effectuer tout le travail manuellement, ci-dessous dans ce post vous pouvez trouver une section sur les outils automatiques.
De plus, à ce stade, vous pourriez avoir découvert plus de services exposés aux utilisateurs non authentifiés, vous pourriez être en mesure de les exploiter :
GCP - Unauthenticated Enum & AccessLa façon la plus courante, une fois que vous avez obtenu des identifiants cloud ou que vous avez compromis un service fonctionnant dans un cloud, est de profiter des privilèges mal configurés que le compte compromis peut avoir. Donc, la première chose que vous devriez faire est d'énumérer vos privilèges.
De plus, lors de cette énumération, rappelez-vous que les permissions peuvent être définies au niveau le plus élevé de "l'Organisation" également.
GCP - Privilege EscalationGCP - Post ExploitationGCP - PersistenceLors de l'énumération des services GCP, vous pourriez avoir trouvé certains d'entre eux exposant des éléments à Internet (ports VM/Containers, bases de données ou services de files d'attente, instantanés ou buckets...). En tant que pentester/équipe rouge, vous devriez toujours vérifier si vous pouvez trouver des informations sensibles / des vulnérabilités sur eux, car ils pourraient vous fournir un accès supplémentaire au compte AWS.
Dans ce livre, vous devriez trouver des informations sur comment trouver des services GCP exposés et comment les vérifier. Concernant comment trouver des vulnérabilités dans des services réseau exposés, je vous recommande de chercher le service spécifique dans :
Compromettre des principes dans une plateforme pourrait permettre à un attaquant de compromettre l'autre, vérifiez-le dans :
GCP <--> Workspace PivotingDans la console GCloud, à https://console.cloud.google.com/iam-admin/asset-inventory/dashboard vous pouvez voir les ressources et IAM utilisés par projet.
Ici, vous pouvez voir les actifs pris en charge par cette API : https://cloud.google.com/asset-inventory/docs/supported-asset-types
Vérifiez les outils qui peuvent être utilisés dans plusieurs clouds ici.
gcp_scanner : C'est un scanner de ressources GCP qui peut aider à déterminer quel niveau d'accès certains identifiants possèdent sur GCP.
gcp_enum : Script Bash pour énumérer un environnement GCP en utilisant gcloud cli et enregistrer les résultats dans un fichier.
GCP-IAM-Privilege-Escalation : Scripts pour énumérer les privilèges IAM élevés et pour escalader les privilèges dans GCP en les abusant (je n'ai pas pu faire fonctionner le script d'énumération).
BF My GCP Permissions : Script pour forcer vos permissions.
N'oubliez pas que vous pouvez utiliser le paramètre --log-http
avec le gcloud
cli pour imprimer les requêtes que l'outil effectue. Si vous ne voulez pas que les journaux masquent la valeur du token, utilisez gcloud config set log_http_redact_token false
De plus, pour intercepter la communication :
Pour utiliser un jeton OAuth de compte de service exfiltré à partir du point de terminaison des métadonnées, vous pouvez simplement faire :
Apprenez et pratiquez le Hacking AWS :HackTricks Formation Expert Red Team AWS (ARTE) Apprenez et pratiquez le Hacking GCP : HackTricks Formation Expert Red Team GCP (GRTE)