GCP - local privilege escalation ssh pivoting

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

इस परिदृश्य में हम मान लेंगे कि आपने एक VM में एक गैर विशेषाधिकार खाता को समझौता किया है जो एक Compute Engine प्रोजेक्ट के अंदर है।

अद्भुत रूप से, आपके द्वारा समझौता किए गए Compute Engine के GPC अनुमतियाँ आपको एक मशीन के अंदर स्थानीय रूप से विशेषाधिकार बढ़ाने में मदद कर सकती हैं। भले ही यह हमेशा एक क्लाउड वातावरण में बहुत सहायक न हो, यह जानना अच्छा है कि यह संभव है।

स्क्रिप्ट पढ़ें

Compute Instances शायद वहां कुछ स्क्रिप्ट्स को उनके सेवा खातों के साथ क्रियाएँ करने के लिए निष्पादित करने के लिए हैं।

चूंकि IAM बहुत बारीक है, एक खाते के पास एक संसाधन पर पढ़ने/लिखने के विशेषाधिकार हो सकते हैं लेकिन कोई सूची विशेषाधिकार नहीं हो सकते।

इसका एक शानदार काल्पनिक उदाहरण एक Compute Instance है जिसे instance82736-long-term-xyz-archive-0332893 नामक एक स्टोरेज बकेट में बैकअप पढ़ने/लिखने की अनुमति है।

कमांड लाइन से gsutil ls चलाने पर कुछ भी नहीं लौटता है, क्योंकि सेवा खाते के पास storage.buckets.list IAM अनुमति नहीं है। हालाँकि, यदि आपने gsutil ls gs://instance82736-long-term-xyz-archive-0332893 चलाया, तो आप एक पूर्ण फ़ाइल सिस्टम बैकअप पा सकते हैं, जो आपको उस डेटा तक स्पष्ट-पाठ पहुंच देता है जो आपके स्थानीय Linux खाते के पास नहीं है।

आप इस बकेट नाम को एक स्क्रिप्ट (bash, Python, Ruby...) के अंदर पा सकते हैं।

कस्टम मेटाडेटा

प्रशासक इंस्टेंस और प्रोजेक्ट स्तर पर कस्टम मेटाडेटा जोड़ सकते हैं। यह बस एक तरीके से मनमाने कुंजी/मान जोड़े को एक इंस्टेंस में पास करने का तरीका है, और इसे पर्यावरण चर और स्टार्टअप/शटडाउन स्क्रिप्ट के लिए सामान्यतः उपयोग किया जाता है।

इसके अलावा, userdata जोड़ना संभव है, जो एक स्क्रिप्ट है जो हर बार मशीन शुरू या पुनः प्रारंभ होने पर निष्पादित की जाएगी और जिसे मेटाडेटा एंडपॉइंट से भी एक्सेस किया जा सकता है।

अधिक जानकारी के लिए देखें:

Cloud SSRFHackTricks

IAM अनुमतियों का दुरुपयोग करना

निम्नलिखित प्रस्तावित अनुमतियों में से अधिकांश डिफ़ॉल्ट Compute SA को दी गई हैं, केवल समस्या यह है कि डिफ़ॉल्ट एक्सेस स्कोप SA को उनका उपयोग करने से रोकता है। हालाँकि, यदि cloud-platform स्कोप सक्षम है या केवल compute स्कोप सक्षम है, तो आप उनका दुरुपयोग करने में सक्षम होंगे।

निम्नलिखित अनुमतियों की जांच करें:

फ़ाइल सिस्टम में कुंजियों की खोज करें

जांचें कि क्या अन्य उपयोगकर्ताओं ने बॉक्स के अंदर gcloud में लॉगिन किया है और फ़ाइल सिस्टम में अपनी क्रेडेंशियल्स छोड़ दी हैं:

sudo find / -name "gcloud"

ये सबसे दिलचस्प फ़ाइलें हैं:

~/.config/gcloud/credentials.db
~/.config/gcloud/legacy_credentials/[ACCOUNT]/adc.json
~/.config/gcloud/legacy_credentials/[ACCOUNT]/.boto
~/.credentials.json

अधिक API Keys regexes

TARGET_DIR="/path/to/whatever"

# Service account keys
grep -Pzr "(?s){[^{}]*?service_account[^{}]*?private_key.*?}" \
"$TARGET_DIR"

# Legacy GCP creds
grep -Pzr "(?s){[^{}]*?client_id[^{}]*?client_secret.*?}" \
"$TARGET_DIR"

# Google API keys
grep -Pr "AIza[a-zA-Z0-9\\-_]{35}" \
"$TARGET_DIR"

# Google OAuth tokens
grep -Pr "ya29\.[a-zA-Z0-9_-]{100,200}" \
"$TARGET_DIR"

# Generic SSH keys
grep -Pzr "(?s)-----BEGIN[ A-Z]*?PRIVATE KEY[a-zA-Z0-9/\+=\n-]*?END[ A-Z]*?PRIVATE KEY-----" \
"$TARGET_DIR"

# Signed storage URLs
grep -Pir "storage.googleapis.com.*?Goog-Signature=[a-f0-9]+" \
"$TARGET_DIR"

# Signed policy documents in HTML
grep -Pzr '(?s)<form action.*?googleapis.com.*?name="signature" value=".*?">' \
"$TARGET_DIR"

संदर्भ

https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
हमारे 💬 Discord समूह या telegram समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud github रिपोजिटरी में PR सबमिट करें।

PreviousGCP - Network Docker Escape NextGCP - Persistence

Last updated 8 days ago