GCP - AppEngine Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
App Engineに関する詳細情報は以下を確認してください:
GCP - App Engine Enumappengine.applications.get
, appengine.instances.get
, appengine.instances.list
, appengine.operations.get
, appengine.operations.list
, appengine.services.get
, appengine.services.list
, appengine.versions.create
, appengine.versions.get
, appengine.versions.list
, cloudbuild.builds.get
,iam.serviceAccounts.actAs
, resourcemanager.projects.get
, storage.objects.create
, storage.objects.list
これらは**gcloud
cliを使用してアプリをデプロイするために必要な権限です。おそらくget
とlist
の権限は回避**できるかもしれません。
Pythonのコード例はhttps://github.com/GoogleCloudPlatform/python-docs-samples/tree/main/appengineで見つけることができます。
デフォルトでは、アプリサービスの名前は**default
になり、同じ名前のインスタンスは1つだけ存在できます。
これを変更して2つ目のアプリを作成するには、app.yaml
でルートキーの値をservice: my-second-app
**のように変更します。
少なくとも10〜15分待って、うまくいかない場合は別のデプロイを呼び出して、数分待ってください。
使用するサービスアカウントを指定することは可能ですが、デフォルトではApp EngineのデフォルトSAが使用されます。
アプリケーションのURLは、https://<proj-name>.oa.r.appspot.com/
またはhttps://<service_name>-dot-<proj-name>.oa.r.appspot.com
のようになります。
AppEngineを更新するのに十分な権限があるかもしれませんが、新しいものを作成する権限はないかもしれません。その場合、現在のApp Engineを更新する方法は次のとおりです:
もしすでにAppEngineを侵害している場合、appengine.applications.update
の権限とactAsがサービスアカウントに対してある場合、次のようにAppEngineで使用されるサービスアカウントを変更できます:
appengine.instances.enableDebug
, appengine.instances.get
, appengine.instances.list
, appengine.operations.get
, appengine.services.get
, appengine.services.list
, appengine.versions.get
, appengine.versions.list
, compute.projects.get
これらの権限を持つことで、flexible(標準ではない)タイプのApp Engineインスタンスにsshでログインすることが可能です。一部の**list
およびget
権限は本当に必要ないかもしれません**。
appengine.applications.update
, appengine.operations.get
これは、アプリケーションを設定するためにGoogleが使用するバックグラウンドSAを変更するだけだと思うので、これを悪用してサービスアカウントを盗むことはできないと思います。
appengine.versions.getFileContents
, appengine.versions.update
これらの権限の使い方や有用性は不明です(コードを変更すると新しいバージョンが作成されるため、コードやIAMロールを単に更新できるかどうかはわかりませんが、バケット内のコードを変更することでできるはずだと思います)。
前述のように、appengineのバージョンはstaging.<project-id>.appspot.com
という形式のバケット内にデータを生成します。このバケットを事前に取得することはできません。なぜなら、GCPユーザーはappspot.com
というドメイン名を使用してバケットを生成する権限がないからです。
しかし、このバケットに対して読み取りおよび書き込みアクセスがあれば、バケットを監視し、変更が行われるたびにできるだけ早くコードを修正することで、AppEngineバージョンに付随するSAの権限を昇格させることが可能です。この方法で、このコードから作成されるコンテナはバックドア付きのコードを実行します。
詳細情報およびPoCについてはこのページの関連情報を確認してください:
GCP - Storage PrivescApp Engineはアーティファクトレジストリ内にdockerイメージを作成します。このサービス内でイメージを変更しても、App Engineインスタンスを削除(新しいものがデプロイされる)しても、実行されるコードは変更されません。 バケットと同様にレースコンディション攻撃を行うことで実行されるコードを上書きできる可能性がありますが、これはテストされていません。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)