GCP - AppEngine Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
App Engineに関する詳細情報は以下を確認してください:
appengine.applications.get
, appengine.instances.get
, appengine.instances.list
, appengine.operations.get
, appengine.operations.list
, appengine.services.get
, appengine.services.list
, appengine.versions.create
, appengine.versions.get
, appengine.versions.list
, cloudbuild.builds.get
,iam.serviceAccounts.actAs
, resourcemanager.projects.get
, storage.objects.create
, storage.objects.list
これらは**gcloud
cliを使用してアプリをデプロイするために必要な権限です。おそらくget
とlist
の権限は省略**できるかもしれません。
Pythonのコード例はhttps://github.com/GoogleCloudPlatform/python-docs-samples/tree/main/appengineで見つけることができます。
デフォルトでは、アプリサービスの名前は**default
になり、同じ名前のインスタンスは1つだけ存在できます。
これを変更して2つ目のアプリを作成するには、app.yaml
でルートキーの値をservice: my-second-app
**のように変更します。
少なくとも10〜15分待って、動作しない場合は別のデプロイを呼び出して、数分待ってください。
使用するサービスアカウントを指定することは可能ですが、デフォルトではApp EngineのデフォルトSAが使用されます。
アプリケーションのURLは、https://<proj-name>.oa.r.appspot.com/
または https://<service_name>-dot-<proj-name>.oa.r.appspot.com
のようになります。
AppEngineを更新するのに十分な権限があるかもしれませんが、新しいものを作成する権限はないかもしれません。その場合、現在のApp Engineを更新する方法は次のとおりです:
もしすでにAppEngineを侵害している場合、appengine.applications.update
の権限とactAsの権限を持っているなら、次のコマンドを使用してAppEngineで使用されるサービスアカウントを変更できます:
appengine.instances.enableDebug
, appengine.instances.get
, appengine.instances.list
, appengine.operations.get
, appengine.services.get
, appengine.services.list
, appengine.versions.get
, appengine.versions.list
, compute.projects.get
これらの権限を持つことで、flexible(標準ではない)タイプのApp Engineインスタンスにsshでログインすることが可能です。一部の**list
およびget
権限は実際には必要ないかもしれません**。
appengine.applications.update
, appengine.operations.get
これは、アプリケーションを設定するためにGoogleが使用するバックグラウンドSAを変更するだけだと思うので、これを悪用してサービスアカウントを盗むことはできないと思います。
appengine.versions.getFileContents
, appengine.versions.update
これらの権限をどのように使用するか、またはそれらが有用かどうかわかりません(コードを変更すると新しいバージョンが作成されるため、コードやIAMロールのどちらかを更新できるかどうかは不明ですが、バケット内のコードを変更することでできるはずだと思います)。
前述のように、appengineのバージョンは、staging.<project-id>.appspot.com
という形式のバケット内にデータを生成します。このバケットを事前に取得することはできません。なぜなら、GCPユーザーはappspot.com
というドメイン名を使用してバケットを生成する権限がないからです。
しかし、このバケットに対する読み取りおよび書き込みアクセスがあれば、バケットを監視し、変更が行われるたびにできるだけ早くコードを修正することで、AppEngineバージョンに付随するSAの権限を昇格させることが可能です。この方法で、このコードから作成されるコンテナはバックドア付きのコードを実行します。
詳細情報およびPoCについては、このページの関連情報を確認してください:
App Engineはアーティファクトレジストリ内にdockerイメージを作成します。このサービス内でイメージを変更しても、App Engineインスタンスを削除(新しいものがデプロイされる)しても、実行されるコードは変更されません。 バケットと同様にレースコンディション攻撃を行うことで、実行されるコードを上書きできる可能性がありますが、これはテストされていません。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)