GCP - IAM, Principals & Org Policies Enum

Account di Servizio

Per un'introduzione su cosa sia un account di servizio, controlla:

Enumerazione

Un account di servizio appartiene sempre a un progetto:

gcloud iam service-accounts list --project <project>

Utenti e Gruppi

Per un'introduzione su come funzionano gli Utenti e i Gruppi in GCP, controlla:

Enumerazione

Con i permessi serviceusage.services.enable e serviceusage.services.use è possibile abilitare i servizi in un progetto e usarli.

Se puoi abilitare il servizio admin e se il tuo utente ha sufficienti privilegi in workspace, potresti enumerare tutti i gruppi e gli utenti con le seguenti righe. Anche se dice identity groups, restituisce anche utenti senza alcun gruppo:

# Enable admin
gcloud services enable admin.googleapis.com
gcloud services enable cloudidentity.googleapis.com

# Using admin.googleapis.com
## List all users
gcloud organizations list #The DIRECTORY_CUSTOMER_ID is the Workspace ID
gcloud beta identity groups preview --customer <workspace-id>

# Using cloudidentity.googleapis.com
## List groups of a user (you can list at least the groups you belong to)
gcloud identity groups memberships search-transitive-groups --member-email <email> --labels=cloudidentity.googleapis.com/groups.discussion_forum

## List Group Members (you can list at least the groups you belong to)
gcloud identity groups memberships list --group-email=<email>
### Make it transitive
gcloud identity groups memberships search-transitive-memberships --group-email=<email>

## Get a graph (if you have enough permissions)
gcloud identity groups memberships get-membership-graph --member-email=<email> --labels=cloudidentity.googleapis.com/groups.discussion_forum

Anche con il servizio admin abilitato, è possibile che si verifichi un errore nell'enumerarli perché l'utente del workspace compromesso non ha abbastanza permessi:

IAM

Controlla questo per informazioni di base su IAM.

Permessi Predefiniti

Dai documenti: Quando viene creato una risorsa dell'organizzazione, a tutti gli utenti nel tuo dominio vengono concessi i ruoli di Creatore di Conto di Fatturazione e Creatore di Progetto per impostazione predefinita. Questi ruoli predefiniti consentono ai tuoi utenti di iniziare a utilizzare Google Cloud immediatamente, ma non sono destinati all'uso nell'operazione regolare della risorsa della tua organizzazione.

Questi ruoli concedono i permessi:

• billing.accounts.create e resourcemanager.organizations.get

• resourcemanager.organizations.get e resourcemanager.projects.create

Inoltre, quando un utente crea un progetto, gli viene automaticamente concesso il ruolo di proprietario di quel progetto secondo i documenti. Pertanto, per impostazione predefinita, un utente sarà in grado di creare un progetto e eseguire qualsiasi servizio su di esso (miner? enumerazione di Workspace? ...)

set-iam-policy vs add-iam-policy-binding

Nella maggior parte dei servizi, sarai in grado di modificare i permessi su una risorsa utilizzando il metodo add-iam-policy-binding o set-iam-policy. La principale differenza è che add-iam-policy-binding aggiunge un nuovo binding di ruolo alla policy IAM esistente, mentre set-iam-policy elimina i permessi precedentemente concessi e imposta solo quelli indicati nel comando.

Enumerazione

# Roles
## List roles
gcloud iam roles list --project $PROJECT_ID # List only custom roles
gcloud iam roles list --filter='etag:AA=='

## Get perms and description of role
gcloud iam roles describe roles/container.admin
gcloud iam roles describe --project <proj-name> <role-name>

# Policies
gcloud organizations get-iam-policy <org_id>
gcloud resource-manager folders get-iam-policy <folder-id>
gcloud projects get-iam-policy <project-id>

# MISC
## Testable permissions in resource
gcloud iam list-testable-permissions --filter "NOT apiDisabled: true" <resource>
## Grantable roles to a resource
gcloud iam list-grantable-roles <project URL>

cloudasset IAM Enumeration

Ci sono diversi modi per controllare tutti i permessi di un utente in diverse risorse (come organizzazioni, cartelle, progetti...) utilizzando questo servizio.

• Il permesso cloudasset.assets.searchAllIamPolicies può richiedere tutte le politiche iam all'interno di una risorsa.

gcloud asset search-all-iam-policies #By default uses current configured project
gcloud asset search-all-iam-policies --scope folders/1234567
gcloud asset search-all-iam-policies --scope organizations/123456
gcloud asset search-all-iam-policies --scope projects/project-id-123123

• Il permesso cloudasset.assets.analyzeIamPolicy può richiedere tutte le politiche iam di un principale all'interno di una risorsa.

# Needs perm "cloudasset.assets.analyzeIamPolicy" over the asset
gcloud asset analyze-iam-policy --organization=<org-id> \
--identity='user:email@hacktricks.xyz'
gcloud asset analyze-iam-policy --folder=<folder-id> \
--identity='user:email@hacktricks.xyz'
gcloud asset analyze-iam-policy --project=<project-name> \
--identity='user:email@hacktricks.xyz'

• Il permesso cloudasset.assets.searchAllResources consente di elencare tutte le risorse di un'organizzazione, cartella o progetto. Risorse relative a IAM (come i ruoli) incluse.

gcloud asset search-all-resources --scope projects/<proj-name>
gcloud asset search-all-resources --scope folders/1234567
gcloud asset search-all-resources --scope organizations/123456

• Il permesso cloudasset.assets.analyzeMove può essere utile anche per recuperare le politiche che influenzano una risorsa come un progetto.

gcloud asset analyze-move --project=<proj-name> \
--destination-organization=609216679593

• Suppongo che il permesso cloudasset.assets.queryIamPolicy potrebbe anche dare accesso per trovare i permessi dei principali

# But, when running something like this
gcloud asset query --project=<proj> --statement='SELECT * FROM compute_googleapis_com_Instance'
# I get the error
ERROR: (gcloud.asset.query) UNAUTHENTICATED: QueryAssets API is only supported for SCC premium customers. See https://cloud.google.com/security-command-center/pricing

testIamPermissions enumeration

Privesc

Nella pagina seguente puoi controllare come abusare delle autorizzazioni IAM per escalare i privilegi:

Unauthenticated Enum

Post Exploitation

Persistence

Se hai privilegi elevati potresti:

• Creare nuovi SAs (o utenti se in Workspace)

• Dare ai principi controllati da te più autorizzazioni

• Dare più privilegi a SAs vulnerabili (SSRF in vm, vuln Cloud Function…)

• …

Org Policies

Per un'introduzione su cosa sono le Org Policies controlla:

Le politiche IAM indicano le autorizzazioni che i principi hanno sulle risorse tramite ruoli, che sono assegnati con autorizzazioni granulari. Le politiche di organizzazione limitano come quei servizi possono essere utilizzati o quali funzionalità sono disabilitate. Questo aiuta a migliorare il principio del minimo privilegio per ciascuna risorsa nell'ambiente GCP.

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
gcloud resource-manager org-policies list --folder=FOLDER_ID
gcloud resource-manager org-policies list --project=PROJECT_ID

Privesc

Nella pagina seguente puoi controllare come abuse org policies permissions to escalate privileges: