GCP - Source Repositories Enum

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podrška HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Osnovne informacije

Google Cloud Source Repositories je potpuno funkcionalna, skalabilna, privatna Git usluga za repozitorijume. Dizajnirana je da hostuje vaš izvorni kod u potpuno upravljanom okruženju, besprekorno se integrišući sa drugim GCP alatima i uslugama. Pruža kolaborativno i sigurno mesto za timove da čuvaju, upravljaju i prate svoj kod.

Ključne karakteristike Cloud Source Repositories uključuju:

Potpuno upravljano Git hostovanje: Pruža poznatu funkcionalnost Gita, što znači da možete koristiti uobičajene Git komande i radne tokove.
Integracija sa GCP uslugama: Integrira se sa drugim GCP uslugama kao što su Cloud Build, Pub/Sub i App Engine za end-to-end praćenje od koda do implementacije.
Privatni repozitorijumi: Osigurava da je vaš kod pohranjen sigurno i privatno. Možete kontrolisati pristup koristeći Cloud Identity and Access Management (IAM) uloge.
Analiza izvornog koda: Radi sa drugim GCP alatima kako bi pružila automatsku analizu vašeg izvornog koda, identifikujući potencijalne probleme kao što su greške, ranjivosti ili loše prakse kodiranja.
Alati za saradnju: Podržava kolaborativno kodiranje sa alatima kao što su zahtevi za spajanje, komentari i recenzije.
Podrška za ogledala: Omogućava vam da povežete Cloud Source Repositories sa repozitorijumima hostovanim na GitHub-u ili Bitbucket-u, omogućavajući automatsku sinhronizaciju i pružajući jedinstven prikaz svih vaših repozitorijuma.

OffSec informacije

Konfiguracija izvora repozitorijuma unutar projekta će imati Servisni nalog koji se koristi za objavljivanje Cloud Pub/Sub poruka. Podrazumevani koji se koristi je Compute SA. Međutim, ne mislim da je moguće ukrasti njegov token iz Izvora Repozitorijuma jer se izvršava u pozadini.
Da biste videli kod unutar GCP Cloud Source Repositories web konzole (https://source.cloud.google.com/), potrebno je da kod bude unutar master grane po defaultu.
Takođe možete napraviti ogledalo Cloud Repozitorijuma koje pokazuje na repo sa Github-a ili Bitbucket-a (dajući pristup tim platformama).
Moguće je kodirati i debagovati iz GCP-a.
Po defaultu, Izvori Repozitorijuma sprečavaju privatne ključeve da budu poslati u commit-ima, ali ovo se može onemogućiti.

Otvorite u Cloud Shell

Moguće je otvoriti repozitorijum u Cloud Shell-u, pojaviće se prompt poput ovog:

Ovo će vam omogućiti da kodirate i debagujete u Cloud Shell-u (što može dovesti do kompromitovanja cloudshell-a).

Enumeracija

# Repos enumeration
gcloud source repos list #Get names and URLs
gcloud source repos describe <repo_name>
gcloud source repos get-iam-policy <repo_name>

# gcloud repo clone
gcloud source repos clone <REPO NAME>
gcloud source repos get-iam-policy <REPO NAME>
... git add & git commit -m ...
git push --set-upstream origin master
git push -u origin master

# Access via git
## To add a SSH key go to https://source.cloud.google.com/user/ssh_keys (no gcloud command)
git clone ssh://username@domain.com@source.developers.google.com:2022/p/<proj-name>/r/<repo-name>
git add, commit, push...

Eskalacija privilegija i post eksploatacija

GCP - Sourcerepos Privesc

Neautentifikovana enumeracija

GCP - Source Repositories Unauthenticated Enum

Podržite HackTricks

Proverite planove pretplate!
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousGCP - Security Enum NextGCP - Spanner Enum

Last updated 3 days ago

Osnovne informacije

Ključne karakteristike Cloud Source Repositories uključuju:

Potpuno upravljano Git hostovanje: Pruža poznatu funkcionalnost Gita, što znači da možete koristiti uobičajene Git komande i radne tokove.

Integracija sa GCP uslugama: Integrira se sa drugim GCP uslugama kao što su Cloud Build, Pub/Sub i App Engine za end-to-end praćenje od koda do implementacije.

Privatni repozitorijumi: Osigurava da je vaš kod pohranjen sigurno i privatno. Možete kontrolisati pristup koristeći Cloud Identity and Access Management (IAM) uloge.

Analiza izvornog koda: Radi sa drugim GCP alatima kako bi pružila automatsku analizu vašeg izvornog koda, identifikujući potencijalne probleme kao što su greške, ranjivosti ili loše prakse kodiranja.

Alati za saradnju: Podržava kolaborativno kodiranje sa alatima kao što su zahtevi za spajanje, komentari i recenzije.

Podrška za ogledala: Omogućava vam da povežete Cloud Source Repositories sa repozitorijumima hostovanim na GitHub-u ili Bitbucket-u, omogućavajući automatsku sinhronizaciju i pružajući jedinstven prikaz svih vaših repozitorijuma.

OffSec informacije

Konfiguracija izvora repozitorijuma unutar projekta će imati Servisni nalog koji se koristi za objavljivanje Cloud Pub/Sub poruka. Podrazumevani koji se koristi je Compute SA. Međutim, ne mislim da je moguće ukrasti njegov token iz Izvora Repozitorijuma jer se izvršava u pozadini.

Da biste videli kod unutar GCP Cloud Source Repositories web konzole (https://source.cloud.google.com/), potrebno je da kod bude unutar master grane po defaultu.

Takođe možete napraviti ogledalo Cloud Repozitorijuma koje pokazuje na repo sa Github-a ili Bitbucket-a (dajući pristup tim platformama).

Moguće je kodirati i debagovati iz GCP-a.

Po defaultu, Izvori Repozitorijuma sprečavaju privatne ključeve da budu poslati u commit-ima, ali ovo se može onemogućiti.

Otvorite u Cloud Shell

Moguće je otvoriti repozitorijum u Cloud Shell-u, pojaviće se prompt poput ovog:

Ovo će vam omogućiti da kodirate i debagujete u Cloud Shell-u (što može dovesti do kompromitovanja cloudshell-a).

Enumeracija

# Repos enumeration
gcloud source repos list #Get names and URLs
gcloud source repos describe <repo_name>
gcloud source repos get-iam-policy <repo_name>

# gcloud repo clone
gcloud source repos clone <REPO NAME>
gcloud source repos get-iam-policy <REPO NAME>
... git add & git commit -m ...
git push --set-upstream origin master
git push -u origin master

# Access via git
## To add a SSH key go to https://source.cloud.google.com/user/ssh_keys (no gcloud command)
git clone ssh://username@domain.com@source.developers.google.com:2022/p/<proj-name>/r/<repo-name>
git add, commit, push...

Eskalacija privilegija i post eksploatacija

GCP - Sourcerepos Privesc

Neautentifikovana enumeracija

GCP - Source Repositories Unauthenticated Enum