GCP - local privilege escalation ssh pivoting
Last updated
Last updated
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Dans ce scénario, nous allons supposer que vous avez compromis un compte non privilégié à l'intérieur d'une VM dans un projet Compute Engine.
Étonnamment, les permissions GCP du compute engine que vous avez compromis peuvent vous aider à escalader les privilèges localement à l'intérieur d'une machine. Même si cela ne sera pas toujours très utile dans un environnement cloud, il est bon de savoir que c'est possible.
Les instances de calcul sont probablement là pour exécuter des scripts afin d'effectuer des actions avec leurs comptes de service.
Comme IAM est très granulaire, un compte peut avoir des privilèges de lecture/écriture sur une ressource mais aucun privilège de liste.
Un excellent exemple hypothétique de cela est une instance de calcul qui a la permission de lire/écrire des sauvegardes dans un bucket de stockage appelé instance82736-long-term-xyz-archive-0332893
.
L'exécution de gsutil ls
depuis la ligne de commande ne renvoie rien, car le compte de service manque de la permission IAM storage.buckets.list
. Cependant, si vous exécutez gsutil ls gs://instance82736-long-term-xyz-archive-0332893
, vous pourriez trouver une sauvegarde complète du système de fichiers, vous donnant un accès en texte clair aux données dont votre compte Linux local manque.
Vous pourriez être en mesure de trouver ce nom de bucket à l'intérieur d'un script (en bash, Python, Ruby...).
Les administrateurs peuvent ajouter des métadonnées personnalisées au niveau de l'instance et au niveau du projet. C'est simplement un moyen de passer des paires clé/valeur arbitraires dans une instance, et est couramment utilisé pour les variables d'environnement et les scripts de démarrage/arrêt.
De plus, il est possible d'ajouter des userdata, qui est un script qui sera exécuté à chaque fois que la machine est démarrée ou redémarrée et qui peut être accédé depuis le point de terminaison des métadonnées également.
Pour plus d'infos, consultez :
La plupart des permissions proposées suivantes sont données au SA Compute par défaut, le seul problème est que le scope d'accès par défaut empêche le SA de les utiliser. Cependant, si le scope cloud-platform
est activé ou juste le scope compute
est activé, vous serez capable de les abuser.
Vérifiez les permissions suivantes :
Vérifiez si d'autres utilisateurs se sont connectés à gcloud à l'intérieur de la boîte et ont laissé leurs identifiants dans le système de fichiers :
Voici les fichiers les plus intéressants :
~/.config/gcloud/credentials.db
~/.config/gcloud/legacy_credentials/[ACCOUNT]/adc.json
~/.config/gcloud/legacy_credentials/[ACCOUNT]/.boto
~/.credentials.json
Apprenez et pratiquez le Hacking AWS :HackTricks Formation Expert Red Team AWS (ARTE) Apprenez et pratiquez le Hacking GCP : HackTricks Formation Expert Red Team GCP (GRTE)