GCP - Token Persistance
Last updated
Last updated
Apprenez et pratiquez le Hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)
Pour obtenir le token actuel d'un utilisateur, vous pouvez exécuter :
Vérifiez sur cette page comment utiliser directement ce jeton avec gcloud :
Pour obtenir les détails pour générer un nouveau jeton d'accès, exécutez :
Il est également possible de trouver des jetons de rafraîchissement dans $HOME/.config/gcloud/application_default_credentials.json
et dans $HOME/.config/gcloud/legacy_credentials/*/adc.json
.
Pour obtenir un nouveau jeton d'accès rafraîchi avec le jeton de rafraîchissement, l'ID client et le secret client, exécutez :
La validité des jetons de rafraîchissement peut être gérée dans Admin > Sécurité > Contrôle de session Google Cloud, et par défaut, elle est définie sur 16h bien qu'elle puisse être réglée pour ne jamais expirer :
Le flux d'authentification lors de l'utilisation de quelque chose comme gcloud auth login
ouvrira une invite dans le navigateur et après avoir accepté tous les scopes, le navigateur enverra une requête comme celle-ci au port http ouvert par l'outil :
Ensuite, gcloud utilisera l'état et le code avec un client_id
codé en dur (32555940559.apps.googleusercontent.com
) et client_secret
(ZmssLNjJy2998hD4CTg2ejr2
) pour obtenir les données finales du jeton de rafraîchissement.
Notez que la communication avec localhost se fait en HTTP, il est donc possible d'intercepter les données pour obtenir un jeton de rafraîchissement, cependant ces données ne sont valides qu'une seule fois, donc cela serait inutile, il est plus facile de simplement lire le jeton de rafraîchissement à partir du fichier.
Vous pouvez trouver toutes les portées Google sur https://developers.google.com/identity/protocols/oauth2/scopes ou les obtenir en exécutant :
Il est possible de voir quels scopes l'application que gcloud
utilise pour s'authentifier peut prendre en charge avec ce script :
Après l'avoir exécuté, il a été vérifié que cette application prend en charge ces portées :
c'est intéressant de voir comment cette application prend en charge le drive
scope, ce qui pourrait permettre à un utilisateur d'escalader de GCP à Workspace si un attaquant parvient à forcer l'utilisateur à générer un token avec ce scope.
Vérifiez comment en abuser ici.
Tout comme avec les utilisateurs authentifiés, si vous parvenez à compromettre le fichier de clé privée d'un compte de service, vous pourrez y accéder généralement aussi longtemps que vous le souhaitez. Cependant, si vous volez le token OAuth d'un compte de service, cela peut être encore plus intéressant, car, même si par défaut ces tokens ne sont utiles que pendant une heure, si la victime supprime la clé API privée, le token OAuth restera valide jusqu'à son expiration.
Évidemment, tant que vous êtes à l'intérieur d'une machine fonctionnant dans l'environnement GCP, vous pourrez accéder au compte de service attaché à cette machine en contactant le point de terminaison des métadonnées (notez que les tokens Oauth auxquels vous pouvez accéder à ce point de terminaison sont généralement restreints par des scopes).
Certaines remédiations pour ces techniques sont expliquées dans https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2
Apprenez & pratiquez le Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Apprenez & pratiquez le Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)