GCP - Cloud Shell Persistence
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni controlla:
GCP - Cloud Shell EnumGoogle Cloud Shell ti fornisce accesso alla riga di comando alle tue risorse cloud direttamente dal tuo browser senza alcun costo associato.
Puoi accedere al Cloud Shell di Google dalla console web o eseguendo gcloud cloud-shell ssh
.
Questa console ha alcune capacità interessanti per gli attaccanti:
Qualsiasi utente Google con accesso a Google Cloud ha accesso a un'istanza di Cloud Shell completamente autenticata (anche gli Account di Servizio, essendo Proprietari dell'organizzazione).
Detto istanza mantenere la sua home directory per almeno 120 giorni se non si verifica alcuna attività.
Non ci sono capacità per un'organizzazione di monitorare l'attività di quell'istanza.
Questo significa fondamentalmente che un attaccante può mettere una backdoor nella home directory dell'utente e finché l'utente si connette al GC Shell almeno ogni 120 giorni, la backdoor sopravvivrà e l'attaccante otterrà una shell ogni volta che viene eseguita semplicemente facendo:
C'è un altro file nella cartella home chiamato .customize_environment
che, se esiste, verrà eseguito ogni volta che l'utente accede al cloud shell (come nella tecnica precedente). Basta inserire il backdoor precedente o uno simile al seguente per mantenere la persistenza finché l'utente utilizza "frequentemente" il cloud shell:
È importante notare che la prima volta che viene eseguita un'azione che richiede autenticazione, appare una finestra di autorizzazione pop-up nel browser dell'utente. Questa finestra deve essere accettata prima che il comando possa essere eseguito. Se appare un pop-up inaspettato, potrebbe suscitare sospetti e compromettere potenzialmente il metodo di persistenza utilizzato.
Questo è il pop-up dall'esecuzione di gcloud projects list
dalla cloud shell (come attaccante) visualizzato nella sessione utente del browser:
Tuttavia, se l'utente ha utilizzato attivamente la cloudshell, il pop-up non apparirà e puoi raccogliere i token dell'utente con:
Fondamentalmente, vengono utilizzate queste 3 chiamate API:
https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey [POST] (ti farà aggiungere la tua chiave pubblica che hai creato localmente)
https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start [POST] (ti farà avviare l'istanza)
https://content-cloudshell.googleapis.com/v1/users/me/environments/default [GET] (ti dirà l'ip del google cloud shell)
Ma puoi trovare ulteriori informazioni in https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)