GCP - Compute Instances

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Google Cloud Compute Instances su prilagodljive virtuelne mašine na Google-ovoj cloud infrastrukturi, koje nude skalabilnu i on-demand računarsku snagu za širok spektar aplikacija. Pružaju funkcije kao što su globalno raspoređivanje, trajno skladištenje, fleksibilni izbor operativnog sistema i snažne integracije umrežavanja i bezbednosti, što ih čini svestranom opcijom za hostovanje veb sajtova, obradu podataka i efikasno pokretanje aplikacija u cloudu.

Confidential VM

Confidential VMs koriste bezbednosne funkcije zasnovane na hardveru koje nude najnovije generacije AMD EPYC procesora, koje uključuju enkripciju memorije i sigurnu enkriptovanu virtualizaciju. Ove funkcije omogućavaju VM-u da zaštiti podatke koji se obrađuju i skladište unutar njega čak i od host operativnog sistema i hipervizora.

Da bi se pokrenuo Confidential VM, možda će biti potrebno da promenite stvari kao što su tip mašine, mrežni interfejs, slika pokretačkog diska.

Disk & Disk Encryption

Moguće je izabrati disk koji će se koristiti ili napraviti novi. Ako izaberete novi, možete:

Izabrati veličinu diska
Izabrati OS
Naznačiti da želite da obrišete disk kada se instanca obriše
Enkripcija: Po default-u će se koristiti Google upravljani ključ, ali takođe možete izabrati ključ iz KMS ili naznačiti sirovi ključ koji će se koristiti.

Deploy Container

Moguće je rasporediti kontejner unutar virtuelne mašine. Moguće je konfigurisati sliku koja će se koristiti, postaviti komandu koja će se izvršiti unutar, argumente, montirati volumen i env varijable (osetljive informacije?) i konfigurisati nekoliko opcija za ovaj kontejner kao što su izvršavanje kao privilegovan, stdin i pseudo TTY.

Service Account

Po default-u, koristiće se Compute Engine default service account. Email ovog SA je kao: <proj-num>-compute@developer.gserviceaccount.com Ovaj servisni nalog ima Editor ulogu nad celim projektom (visoke privilegije).

A default pristupni opsezi su sledeći:

https://www.googleapis.com/auth/devstorage.read_only -- Pristup za čitanje ka bucket-ima :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append

Međutim, moguće je dodeliti cloud-platform jednim klikom ili odrediti prilagođene.

Firewall

Moguće je dozvoliti HTTP i HTTPS saobraćaj.

Networking

IP Forwarding: Moguće je omogućiti IP prosleđivanje prilikom kreiranja instance.
Hostname: Moguće je dati instanci trajni hostname.
Interfejs: Moguće je dodati mrežni interfejs.

Extra Security

Ove opcije će povećati bezbednost VM-a i preporučuju se:

Secure boot: Secure boot pomaže u zaštiti vaših VM instanci od malware-a na nivou pokretanja i kernel-a i rootkit-ova.
Enable vTPM: Virtual Trusted Platform Module (vTPM) validira integritet vašeg gostujućeg VM-a pre pokretanja i tokom pokretanja, i nudi generisanje i zaštitu ključeva.
Integrity supervision: Monitoring integriteta vam omogućava da pratite i verifikujete integritet pokretanja vaših zaštićenih VM instanci koristeći Stackdriver izveštaje. Zahteva da vTPM bude omogućen.

VM Access

Uobičajen način za omogućavanje pristupa VM-u je dozvoljavanje određenih SSH javnih ključeva za pristup VM-u. Međutim, takođe je moguće omogućiti pristup VM-u putem os-config servisa koristeći IAM. Štaviše, moguće je omogućiti 2FA za pristup VM-u koristeći ovaj servis. Kada je ovaj servis omogućen, pristup putem SSH ključeva je onemogućen.

Metadata

Moguće je definisati automatizaciju (userdata u AWS) koja su shell komande koje će se izvršavati svaki put kada se mašina uključi ili ponovo pokrene.

Takođe je moguće dodati dodatne metadata ključ-vrednost koje će biti dostupne sa metadata krajnje tačke. Ove informacije se obično koriste za varijable okruženja i skripte za pokretanje/gašenje. Ovo se može dobiti koristeći describe metodu iz komande u sekciji enumeracije, ali se takođe može preuzeti iznutra instance pristupajući metadata krajnjoj tački.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Moreover, auth token for the attached service account and general info about the instance, network and project is also going to be available from the metadata endpoint. For more info check:

Enkripcija

Google-upravljani ključ za enkripciju se koristi po default-u, ali može se konfigurisati ključ za enkripciju koji upravlja kupac (CMEK). Takođe možete konfigurisati šta da radite kada se korišćeni CMEK opozove: Noting ili isključite VM.

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousGCP - Compute Enum NextGCP - VPC & Networking

Last updated 3 days ago