GCP - local privilege escalation ssh pivoting
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
neste cenário, vamos supor que você comprometeu uma conta não privilegiada dentro de uma VM em um projeto do Compute Engine.
Incrivelmente, as permissões do GPC do compute engine que você comprometeu podem ajudá-lo a escalar privilégios localmente dentro de uma máquina. Mesmo que isso nem sempre seja muito útil em um ambiente de nuvem, é bom saber que é possível.
Instâncias de Computação provavelmente estão lá para executar alguns scripts para realizar ações com suas contas de serviço.
Como o IAM é muito granular, uma conta pode ter privilégios de leitura/gravação sobre um recurso, mas sem privilégios de listagem.
Um ótimo exemplo hipotético disso é uma Instância de Computação que tem permissão para ler/gravar backups em um bucket de armazenamento chamado instance82736-long-term-xyz-archive-0332893
.
Executar gsutil ls
a partir da linha de comando não retorna nada, pois a conta de serviço não possui a permissão IAM storage.buckets.list
. No entanto, se você executar gsutil ls gs://instance82736-long-term-xyz-archive-0332893
, pode encontrar um backup completo do sistema de arquivos, dando acesso em texto claro a dados que sua conta local do Linux não possui.
Você pode ser capaz de encontrar o nome desse bucket dentro de um script (em bash, Python, Ruby...).
Os administradores podem adicionar metadados personalizados no nível da instância e nível do projeto. Isso é simplesmente uma maneira de passar pares de chave/valor arbitrários para uma instância, e é comumente usado para variáveis de ambiente e scripts de inicialização/desligamento.
Além disso, é possível adicionar userdata, que é um script que será executado toda vez que a máquina for iniciada ou reiniciada e que pode ser acessado a partir do endpoint de metadados também.
Para mais informações, confira:
A maioria das permissões propostas a seguir são dadas ao SA de Computação padrão, o único problema é que o escopo de acesso padrão impede o SA de usá-las. No entanto, se o escopo cloud-platform
estiver habilitado ou apenas o escopo compute
estiver habilitado, você poderá abusar delas.
Verifique as seguintes permissões:
Verifique se outros usuários fizeram login no gcloud dentro da caixa e deixaram suas credenciais no sistema de arquivos:
Estes são os arquivos mais interessantes:
~/.config/gcloud/credentials.db
~/.config/gcloud/legacy_credentials/[ACCOUNT]/adc.json
~/.config/gcloud/legacy_credentials/[ACCOUNT]/.boto
~/.credentials.json
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)