GCP - Compute Instances

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu Proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovne informacije

Google Cloud računarske instance su prilagodljive virtuelne mašine na Google-ovoj cloud infrastrukturi, koje pružaju skalabilnu i na zahtev računarsku snagu za širok spektar aplikacija. Pružaju mogućnosti kao što su globalno razmeštanje, trajno skladištenje, fleksibilan izbor operativnih sistema, snažne integracije mreže i sigurnosti, čineći ih svestranim izborom za hostovanje veb sajtova, obradu podataka i efikasno pokretanje aplikacija u oblaku.

Poverljiva VM

Poverljive VM koriste bezbednosne funkcije zasnovane na hardveru koje nude najnovije generacije AMD EPYC procesora, koje uključuju enkripciju memorije i sigurnu enkriptovanu virtualizaciju. Ove funkcije omogućavaju VM-u da zaštiti podatke koji se obrađuju i skladište unutar njega čak i od operativnog sistema domaćina i hipervizora.

Za pokretanje Poverljive VM može biti potrebno promeniti stvari poput tipa mašine, mrežnog interfejsa, slike pokretnog diska.

Disk i enkripcija diska

Moguće je izabrati disk koji će se koristiti ili napraviti novi. Ako izaberete novi, možete:

Izabrati veličinu diska
Izabrati OS
Označiti da li želite obrisati disk kada se instanca obriše
Enkripcija: Podrazumevano će se koristiti Google upravljani ključ, ali možete takođe izabrati ključ iz KMS-a ili naznačiti sirovi ključ za korišćenje.

Implementacija kontejnera

Moguće je implementirati kontejner unutar virtuelne mašine. Moguće je konfigurisati sliku za korišćenje, postaviti komandu za pokretanje unutar, argumente, montirati volume, i env promenljive (osetljive informacije?) i konfigurisati nekoliko opcija za ovaj kontejner kao izvršavanje kao privilegovani, stdin i pseudo TTY.

Servisni nalog

Podrazumevano će se koristiti Servisni nalog podrazumevane Compute Engine. Email ovog SA je poput: <proj-br>-compute@developer.gserviceaccount.com Ovaj servisni nalog ima Uredničku ulogu nad celim projektom (visoki privilegije).

I podrazumevani pristupni opsezi su sledeći:

https://www.googleapis.com/auth/devstorage.read_only -- Pristup za čitanje bucket-ova :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append

Međutim, moguće je dodeliti mu cloud-platform jednim klikom ili specificirati prilagođene.

Firewall

Moguće je dozvoliti HTTP i HTTPS saobraćaj.

Mreža

Prosleđivanje IP adrese: Moguće je omogućiti prosleđivanje IP adrese prilikom kreiranja instance.
Hostname: Moguće je dati instanci stalni hostname.
Interfejs: Moguće je dodati mrežni interfejs

Dodatna sigurnost

Ove opcije će povećati sigurnost VM-a i preporučuju se:

Sigurno podizanje sistema: Sigurno podizanje sistema pomaže u zaštiti vaših VM instanci od malvera na nivou podizanja sistema i jezgra.
Omogućavanje vTPM-a: Virtuelni Trusted Platform Module (vTPM) validira pre-boot i boot integritet vašeg gostujućeg VM-a, i nudi generisanje i zaštitu ključeva.
Nadgledanje integriteta: Nadgledanje integriteta omogućava vam da pratite i verifikujete integritet pokretanja vaših zaštićenih VM instanci koristeći izveštaje Stackdriver-a. Zahteva omogućen vTPM.

Pristup VM-u

Uobičajeni način omogućavanja pristupa VM-u je putem dozvoljavanja određenih SSH javnih ključeva za pristup VM-u. Međutim, takođe je moguće omogućiti pristup VM-u putem os-config servisa korišćenjem IAM-a. Osim toga, moguće je omogućiti 2FA za pristup VM-u korišćenjem ovog servisa. Kada je ovaj servis omogućen, pristup putem SSH ključeva je onemogućen.

Metapodaci

Moguće je definisati automatizaciju (userdata u AWS) koja su shell komande koje će se izvršiti svaki put kada se mašina uključi ili restartuje.

Takođe je moguće dodati dodatne metapodatke ključ-vrednost koji će biti dostupni sa metapodataka endpointa. Ove informacije se obično koriste za promenljive okruženja i skripte za pokretanje/zaustavljanje. Ovo se može dobiti korišćenjem describe metode iz komande u odeljku za enumeraciju, ali se takođe može dobiti iznutra instance pristupajući metapodacima endpointa.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Pored toga, auth token za povezani servisni nalog i opšte informacije o instanci, mreži i projektu takođe će biti dostupne sa metadata endpointa. Za više informacija pogledajte:

Cloud SSRFHackTricks

Enkripcija

Podrazumevani ključ za enkripciju upravlja Google-om, ali se može konfigurisati i korisnički upravljani ključ za enkripciju (CMEK). Takođe možete konfigurisati šta treba uraditi kada se korišćeni CMEK povuče: Ništa ili isključiti virtuelnu mašinu.

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu Proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousGCP - Compute Enum NextGCP - VPC & Networking

Last updated 7 months ago