GCP - Cloudfunctions Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Cloud Functionsに関する詳細情報:
GCP - Cloud Functions Enumcloudfunctions.functions.create
, cloudfunctions.functions.sourceCodeSet
, iam.serviceAccounts.actAs
これらの権限を持つ攻撃者は、任意の(悪意のある)コードを持つ新しいCloud Functionを作成し、それにサービスアカウントを割り当てることができます。次に、メタデータからサービスアカウントトークンを漏洩させて、その権限を昇格させます。 関数をトリガーするためにいくつかの権限が必要な場合があります。
この方法のためのエクスプロイトスクリプトはこちらとこちらにあり、事前構築された.zipファイルはこちらにあります。
cloudfunctions.functions.update
, cloudfunctions.functions.sourceCodeSet
, iam.serviceAccounts.actAs
これらの権限を持つ攻撃者は、関数のコードを変更し、トークンを抽出する目的で関連付けられたサービスアカウントを変更することができます。
Cloud Functionsをデプロイするには、デフォルトのコンピュートサービスアカウントまたはイメージを構築するために使用されるサービスアカウントに対するactAs権限も必要です。
追加の権限として、バージョン1のcloudfunctionsに対する.call
権限や、関数をトリガーするためのrole/run.invoker
ロールが必要な場合があります。
Permission 'run.services.setIamPolicy' denied on resource...
というエラーが表示される場合は、--allow-unauthenticated
パラメータを使用しており、十分な権限がないためです。
このメソッドのエクスプロイトスクリプトはこちらで見つけることができます。
cloudfunctions.functions.sourceCodeSet
この権限を使用すると、関数バケットにファイルをアップロードするための署名付きURLを取得できます(ただし、関数のコードは変更されず、更新する必要があります)
攻撃者の視点からこの権限がどれほど有用かはあまり確信が持てませんが、知っておくのは良いことです。
cloudfunctions.functions.setIamPolicy
, iam.serviceAccounts.actAs
前述の**.update
または.create
**のいずれかの権限を自分に付与して昇格します。
cloudfunctions.functions.update
**cloudfunctions
の権限だけでは、iam.serviceAccounts.actAs
**がないと関数を更新できないため、これは有効な昇格ではありません。
バケットに対する読み取りおよび書き込みアクセスがある場合、コードの変更を監視でき、バケット内で更新が発生したときに新しいコードを自分のコードに更新することができ、新しいバージョンのCloud Functionは提出されたバックドア付きのコードで実行されます。
攻撃の詳細については、以下を確認できます:
GCP - Storage Privescただし、これを使用して第三者のCloud Functionsを事前に侵害することはできません。なぜなら、アカウント内にバケットを作成し、外部プロジェクトが書き込めるように公開権限を与えると、次のエラーが発生するからです:
ただし、これはDoS攻撃に使用できる可能性があります。
Cloud Functionが作成されると、新しいdockerイメージがプロジェクトのArtifact Registryにプッシュされます。新しいイメージでイメージを変更しようとしたり、現在のイメージ(およびcache
イメージ)を削除しようとしましたが、何も変わらず、Cloud Functionは引き続き動作しました。したがって、バケットと同様にレースコンディション攻撃を悪用することができるかもしれませんが、保存されたイメージを変更するだけではCloud Functionを侵害することはできません。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)