GCP - Cloud Build Unauthenticated Enum

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Consultez les plans d'abonnement !
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PR au HackTricks et HackTricks Cloud dépôts GitHub.

Cloud Build

Pour plus d'informations sur Cloud Build, consultez :

GCP - Cloud Build Enum

cloudbuild.yml

Si vous compromettez l'accès en écriture sur un dépôt contenant un fichier nommé cloudbuild.yml, vous pourriez backdoor ce fichier, qui spécifie les commandes qui vont être exécutées à l'intérieur d'un Cloud Build et exfiltrer les secrets, compromettre ce qui est fait et également compromettre le compte de service Cloud Build.

Notez que GCP a l'option de permettre aux administrateurs de contrôler l'exécution des systèmes de build à partir de PR externes via "Comment Control". Comment Control est une fonctionnalité où les collaborateurs/propriétaires de projet doivent commenter “/gcbrun” pour déclencher le build contre la PR et l'utilisation de cette fonctionnalité empêche intrinsèquement quiconque sur Internet de déclencher vos systèmes de build.

Pour des informations connexes, vous pouvez consulter la page sur la façon d'attaquer Github Actions (similaire à cela) :

Abusing Github Actions

PR Approvals

Lorsque le déclencheur est une PR parce que tout le monde peut effectuer des PR sur des dépôts publics, il serait très dangereux de simplement permettre l'exécution du déclencheur avec n'importe quelle PR. Par conséquent, par défaut, l'exécution ne sera automatique que pour les propriétaires et les collaborateurs, et pour exécuter le déclencheur avec d'autres PR d'utilisateurs, un propriétaire ou un collaborateur doit commenter /gcbrun.

Par conséquent, si cela est défini sur Not required, un attaquant pourrait effectuer une PR sur la branche qui déclenchera l'exécution en ajoutant l'exécution de code malveillant au fichier cloudbuild.yml et compromettre l'exécution de cloudbuild (notez que cloudbuild téléchargera le code DE la PR, donc il exécutera le malveillant cloudbuild.yml).

De plus, il est facile de voir si une exécution de cloudbuild doit être effectuée lorsque vous envoyez une PR car elle apparaît dans Github :

Alors, même si le cloudbuild n'est pas exécuté, l'attaquant pourra voir le nom du projet d'un projet GCP qui appartient à l'entreprise.