GCP - KMS Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
KMS에 대한 정보:
GCP - KMS EnumKMS에서는 권한이 조직, 폴더 및 프로젝트에서 상속될 뿐만 아니라 키링에서도 상속된다는 점에 유의하십시오.
cloudkms.cryptoKeyVersions.useToDecrypt
이 권한을 사용하여 해당 권한이 있는 키로 정보를 복호화할 수 있습니다.
cloudkms.cryptoKeys.setIamPolicy
이 권한을 가진 공격자는 자신에게 권한을 부여하여 키를 사용해 정보를 복호화할 수 있습니다.
cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
이 위임이 작동하는 방식에 대한 개념적 분석은 다음과 같습니다:
서비스 계정 A는 KMS에서 특정 키를 사용하여 직접적으로 복호화할 수 있는 권한을 가지고 있습니다.
서비스 계정 B는 useToDecryptViaDelegation
권한을 부여받습니다. 이를 통해 서비스 계정 A를 대신하여 KMS에 데이터를 복호화 요청할 수 있습니다.
이 권한의 사용은 복호화 요청이 이루어질 때 KMS 서비스가 권한을 확인하는 방식에 암묵적으로 포함되어 있습니다.
Google Cloud KMS API(파이썬 또는 다른 언어 사용)를 통해 표준 복호화 요청을 할 때, 서비스는 요청하는 서비스 계정이 필요한 권한을 가지고 있는지 확인합니다. 요청이 useToDecryptViaDelegation
권한을 가진 서비스 계정에 의해 이루어지면, KMS는 이 계정이 키의 소유자를 대신하여 복호화를 요청할 수 있는지 확인합니다.
사용자 정의 역할 정의: 사용자 정의 역할을 정의하는 YAML 파일(예: custom_role.yaml
)을 생성합니다. 이 파일에는 cloudkms.cryptoKeyVersions.useToDecryptViaDelegation
권한이 포함되어야 합니다. 이 파일이 어떻게 생겼는지에 대한 예시는 다음과 같습니다:
gcloud CLI를 사용하여 사용자 정의 역할 만들기: 다음 명령어를 사용하여 Google Cloud 프로젝트에서 사용자 정의 역할을 만듭니다:
[YOUR_PROJECT_ID]
를 Google Cloud 프로젝트 ID로 교체하세요.
서비스 계정에 사용자 정의 역할 부여: 이 권한을 사용할 서비스 계정에 사용자 정의 역할을 할당합니다. 다음 명령어를 사용하세요:
[YOUR_PROJECT_ID]
와 [SERVICE_ACCOUNT_EMAIL]
을 각각 프로젝트 ID와 서비스 계정의 이메일로 교체하세요.
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)