GCP - Source Repositories Enum

Osnovne informacije

Google Cloud Source Repositories je potpuno opremljena, skalabilna, privatna Git usluga repozitorijuma. Namijenjena je hostovanju vašeg izvornog koda u potpuno upravljanoj okolini, integrišući se besprekorno sa drugim GCP alatima i uslugama. Pruža saradničko i sigurno mesto za timove da skladište, upravljaju i prate svoj kod.

Ključne karakteristike Cloud Source Repositories uključuju:

1. Potpuno upravljanje Git hostovanjem: Nudi poznate funkcionalnosti Gita, što znači da možete koristiti redovne Git komande i radne tokove.

2. Integracija sa GCP uslugama: Integracija sa drugim GCP uslugama poput Cloud Build, Pub/Sub i App Engine omogućava krajnje praćenje od koda do implementacije.

3. Privatni repozitorijumi: Osigurava da je vaš kod sigurno i privatno skladišten. Možete kontrolisati pristup koristeći uloge Cloud Identity i Access Management (IAM).

4. Analiza izvornog koda: Sarađuje sa drugim GCP alatima kako bi pružila automatsku analizu vašeg izvornog koda, identifikujući potencijalne probleme poput grešaka, ranjivosti ili loših praksi kodiranja.

5. Alati za saradnju: Podržava saradničko kodiranje sa alatima poput zahteva za spajanje, komentara i pregleda.

6. Podrška za ogledalo: Omogućava vam da povežete Cloud Source Repositories sa repozitorijumima hostovanim na GitHub-u ili Bitbucket-u, omogućavajući automatsku sinhronizaciju i pružajući ujedinjen prikaz svih vaših repozitorijuma.

OffSec informacije

• Konfiguracija izvornih repozitorijuma unutar projekta će imati Servisni nalog koji se koristi za objavljivanje Cloud Pub/Sub poruka. Podrazumevani koji se koristi je Compute SA. Međutim, ne mislim da je moguće ukrasti njegov token iz Izvornih repozitorijuma jer se izvršava u pozadini.

• Da biste videli kod unutar GCP Cloud Source Repositories web konzole (https://source.cloud.google.com/), potreban vam je kod da bude unutar master grane po podrazumevanim postavkama.

• Takođe možete kreirati ogledalo Cloud repozitorijuma koje pokazuje na repozitorijum sa Github-a ili Bitbucket-a (dajući pristup tim platformama).

• Moguće je kodirati i debagovati unutar GCP-a.

• Po podrazumevanim postavkama, Source Repositories sprečava privatne ključeve da budu poslati u commit-ima, ali ovo može biti onemogućeno.

Otvori u Cloud Shell-u

Moguće je otvoriti repozitorijum u Cloud Shell-u, pojaviće se upitnik poput ovog:

Ovo će vam omogućiti da kodirate i debagujete u Cloud Shell-u (što može dovesti do kompromitovanja cloudshella).

Enumeracija

# Repos enumeration
gcloud source repos list #Get names and URLs
gcloud source repos describe <repo_name>
gcloud source repos get-iam-policy <repo_name>

# gcloud repo clone
gcloud source repos clone <REPO NAME>
gcloud source repos get-iam-policy <REPO NAME>
... git add & git commit -m ...
git push --set-upstream origin master
git push -u origin master

# Access via git
## To add a SSH key go to https://source.cloud.google.com/user/ssh_keys (no gcloud command)
git clone ssh://username@domain.com@source.developers.google.com:2022/p/<proj-name>/r/<repo-name>
git add, commit, push...

Eskalacija privilegija i post eksploatacija

Neautentifikovano nabrajanje