GCP - AppEngine Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
App Engine에 대한 자세한 정보는 다음을 확인하세요:
GCP - App Engine Enumappengine.applications.get
, appengine.instances.get
, appengine.instances.list
, appengine.operations.get
, appengine.operations.list
, appengine.services.get
, appengine.services.list
, appengine.versions.create
, appengine.versions.get
, appengine.versions.list
, cloudbuild.builds.get
,iam.serviceAccounts.actAs
, resourcemanager.projects.get
, storage.objects.create
, storage.objects.list
이것들은 gcloud
cli를 사용하여 앱을 배포하는 데 필요한 권한입니다. 아마도 get
및 list
권한은 제외될 수 있습니다.
파이썬 코드 예제는 https://github.com/GoogleCloudPlatform/python-docs-samples/tree/main/appengine에서 찾을 수 있습니다.
기본적으로 앱 서비스의 이름은 **default
**가 되며, 동일한 이름을 가진 인스턴스는 1개만 존재할 수 있습니다.
두 번째 앱을 만들고 이름을 변경하려면 **app.yaml
**에서 루트 키의 값을 **service: my-second-app
**와 같이 변경하세요.
최소 10-15분 기다리세요. 작동하지 않으면 다른 배포를 호출하고 몇 분 기다리세요.
사용할 서비스 계정을 지정하는 것이 가능합니다. 그러나 기본적으로 App Engine 기본 SA가 사용됩니다.
애플리케이션의 URL은 https://<proj-name>.oa.r.appspot.com/
또는 https://<service_name>-dot-<proj-name>.oa.r.appspot.com
과 비슷합니다.
AppEngine을 업데이트할 수 있는 충분한 권한이 있지만 새로 만들 권한이 없을 수 있습니다. 그런 경우 현재 App Engine을 업데이트하는 방법은 다음과 같습니다:
만약 이미 AppEngine을 침해했다면 그리고 appengine.applications.update
권한과 actAs 권한이 있는 서비스 계정을 사용하고 있다면, 다음과 같이 AppEngine에서 사용되는 서비스 계정을 수정할 수 있습니다:
appengine.instances.enableDebug
, appengine.instances.get
, appengine.instances.list
, appengine.operations.get
, appengine.services.get
, appengine.services.list
, appengine.versions.get
, appengine.versions.list
, compute.projects.get
이 권한을 사용하면 유연한 유형의 App Engine 인스턴스에 ssh로 로그인할 수 있습니다 (표준 아님). 일부 list
및 get
권한은 실제로 필요하지 않을 수 있습니다.
appengine.applications.update
, appengine.operations.get
이것은 구글이 애플리케이션을 설정하는 데 사용할 백그라운드 서비스 계정을 변경하는 것이라고 생각합니다. 따라서 이를 악용하여 서비스 계정을 훔칠 수는 없다고 생각합니다.
appengine.versions.getFileContents
, appengine.versions.update
이 권한을 어떻게 사용해야 할지, 또는 유용한지 확실하지 않습니다 (코드를 변경하면 새로운 버전이 생성되므로, 코드를 업데이트하거나 IAM 역할을 변경할 수 있는지 모르겠지만, 아마도 가능할 것 같습니다. 아마도 버킷 내부의 코드를 변경하는 것일까요??).
언급했듯이 appengine 버전은 staging.<project-id>.appspot.com
형식의 버킷 내부에 일부 데이터를 생성합니다. GCP 사용자는 appspot.com
도메인 이름을 사용하여 버킷을 생성할 수 있는 권한이 없기 때문에 이 버킷을 미리 인수하는 것은 불가능합니다.
그러나 이 버킷에 대한 읽기 및 쓰기 권한이 있으면, 버킷을 모니터링하고 변경이 수행될 때마다 가능한 한 빨리 코드를 수정하여 AppEngine 버전에 연결된 SA의 권한을 상승시킬 수 있습니다. 이렇게 하면 이 코드에서 생성된 컨테이너가 백도어가 있는 코드를 실행하게 됩니다.
자세한 정보와 PoC는 이 페이지의 관련 정보를 확인하세요:
GCP - Storage PrivescApp Engine이 아티팩트 레지스트리 내에서 도커 이미지를 생성하더라도, 이 서비스 내에서 이미지를 수정하고 App Engine 인스턴스를 제거해도 (새로운 인스턴스가 배포됨) 실행되는 코드는 변경되지 않습니다. 버킷과 마찬가지로 경쟁 조건 공격을 수행하면 실행되는 코드를 덮어쓸 수 있을 가능성이 있지만, 이는 테스트되지 않았습니다.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)