GCP - AppEngine Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni su App Engine, controlla:
GCP - App Engine Enumappengine.applications.get
, appengine.instances.get
, appengine.instances.list
, appengine.operations.get
, appengine.operations.list
, appengine.services.get
, appengine.services.list
, appengine.versions.create
, appengine.versions.get
, appengine.versions.list
, cloudbuild.builds.get
,iam.serviceAccounts.actAs
, resourcemanager.projects.get
, storage.objects.create
, storage.objects.list
Questi sono i permessi necessari per deploy un'App utilizzando gcloud
cli. Forse i permessi get
e list
potrebbero essere evitati.
Puoi trovare esempi di codice python in https://github.com/GoogleCloudPlatform/python-docs-samples/tree/main/appengine
Per impostazione predefinita, il nome del servizio App sarà default
, e può esserci solo 1 istanza con lo stesso nome.
Per cambiarlo e creare una seconda App, in app.yaml
, cambia il valore della chiave radice in qualcosa come service: my-second-app
Dagli almeno 10-15 minuti, se non funziona chiama deploy another of times e aspetta alcuni minuti.
È possibile indicare il Service Account da utilizzare ma per impostazione predefinita, viene utilizzato il SA predefinito di App Engine.
L'URL dell'applicazione è qualcosa come https://<proj-name>.oa.r.appspot.com/
o https://<service_name>-dot-<proj-name>.oa.r.appspot.com
Potresti avere abbastanza permessi per aggiornare un AppEngine ma non per crearne uno nuovo. In tal caso, ecco come potresti aggiornare l'attuale App Engine:
Se hai già compromesso un AppEngine e hai il permesso appengine.applications.update
e actAs sul conto di servizio che puoi utilizzare, potresti modificare il conto di servizio utilizzato da AppEngine con:
appengine.instances.enableDebug
, appengine.instances.get
, appengine.instances.list
, appengine.operations.get
, appengine.services.get
, appengine.services.list
, appengine.versions.get
, appengine.versions.list
, compute.projects.get
Con questi permessi, è possibile accedere tramite ssh nelle istanze di App Engine di tipo flessibile (non standard). Alcuni dei permessi list
e get
potrebbero non essere realmente necessari.
appengine.applications.update
, appengine.operations.get
Penso che questo cambi solo il SA di background che Google utilizzerà per configurare le applicazioni, quindi non credo che tu possa abusare di questo per rubare l'account di servizio.
appengine.versions.getFileContents
, appengine.versions.update
Non sono sicuro di come utilizzare queste autorizzazioni o se siano utili (nota che quando cambi il codice viene creata una nuova versione, quindi non so se puoi semplicemente aggiornare il codice o il ruolo IAM di uno, ma suppongo che dovresti essere in grado di farlo, forse cambiando il codice all'interno del bucket??).
Come accennato, le versioni di appengine generano alcuni dati all'interno di un bucket con il formato nome: staging.<project-id>.appspot.com
. Nota che non è possibile pre-prendere il controllo di questo bucket perché gli utenti GCP non sono autorizzati a generare bucket utilizzando il nome di dominio appspot.com
.
Tuttavia, con accesso in lettura e scrittura su questo bucket, è possibile elevare i privilegi all'SA associato alla versione di AppEngine monitorando il bucket e ogni volta che viene eseguita una modifica, modificare il codice il più velocemente possibile. In questo modo, il container che viene creato da questo codice eseguirà il codice backdoored.
Per ulteriori informazioni e un PoC controlla le informazioni rilevanti da questa pagina:
GCP - Storage PrivescAnche se App Engine crea immagini docker all'interno dell'Artifact Registry. È stato testato che anche se modifichi l'immagine all'interno di questo servizio e rimuovi l'istanza di App Engine (quindi ne viene distribuita una nuova) il codice eseguito non cambia. Potrebbe essere possibile che eseguendo un attacco di Race Condition come con i bucket potrebbe essere possibile sovrascrivere il codice eseguito, ma questo non è stato testato.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)