GCP - Cloudfunctions Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Taarifa zaidi kuhusu Cloud Functions:
GCP - Cloud Functions Enumcloudfunctions.functions.create
, cloudfunctions.functions.sourceCodeSet
, iam.serviceAccounts.actAs
Mshambuliaji mwenye haki hizi anaweza kuunda Cloud Function mpya yenye msimbo wa (mbaya) na kupewa Akaunti ya Huduma. Kisha, vuja token ya Akaunti ya Huduma kutoka kwenye metadata ili kupandisha haki kwake. Haki zingine za kuanzisha kazi hiyo zinaweza kuhitajika.
Mifano ya skripti za kutumia mbinu hii inaweza kupatikana hapa na hapa na faili ya .zip iliyojengwa tayari inaweza kupatikana hapa.
cloudfunctions.functions.update
, cloudfunctions.functions.sourceCodeSet
, iam.serviceAccounts.actAs
Mshambuliaji mwenye haki hizi anaweza kubadilisha msimbo wa Kazi na hata kubadilisha akaunti ya huduma iliyounganishwa kwa lengo la kuhamasisha token.
Ili kupeleka cloud functions utahitaji pia ruhusa za actAs juu ya akaunti ya huduma ya kawaida ya kompyuta au juu ya akaunti ya huduma inayotumika kujenga picha.
Haki za ziada kama ruhusa ya .call
kwa toleo la 1 la cloudfunctions au jukumu role/run.invoker
ili kuanzisha kazi hiyo zinaweza kuhitajika.
Ikiwa unapata kosa Permission 'run.services.setIamPolicy' denied on resource...
ni kwa sababu unatumia param --allow-unauthenticated
na huna ruhusa za kutosha kwa hiyo.
Script ya kutekeleza kwa njia hii inaweza kupatikana hapa.
cloudfunctions.functions.sourceCodeSet
Kwa ruhusa hii unaweza kupata URL iliyosainiwa ili uweze kupakia faili kwenye mfuko wa kazi (lakini msimbo wa kazi hautabadilishwa, bado unahitaji kuisasisha)
Sijui jinsi ruhusa hii pekee inavyoweza kuwa na manufaa kutoka kwa mtazamo wa mshambuliaji, lakini ni vizuri kujua.
cloudfunctions.functions.setIamPolicy
, iam.serviceAccounts.actAs
Jipe ruhusa yoyote kati ya .update
au .create
zilizotangulia ili kupandisha hadhi.
cloudfunctions.functions.update
Kuwa na ruhusa za cloudfunctions
pekee, bila iam.serviceAccounts.actAs
huwezi kusaidia kusasisha kazi HII SI VALID PRIVESC.
Ikiwa una upatikanaji wa kusoma na kuandika juu ya bucket unaweza kufuatilia mabadiliko katika msimbo na wakati wowote sasisho katika bucket linapotokea unaweza kusasisha msimbo mpya na msimbo wako ambao toleo jipya la Cloud Function litakimbia na msimbo wa nyuma uliowasilishwa.
Unaweza kuangalia zaidi kuhusu shambulio katika:
GCP - Storage PrivescHata hivyo, huwezi kutumia hii kujiandaa kabla ya kuathiri Cloud Functions za watu wengine kwa sababu ikiwa utaunda bucket katika akaunti yako na kuipa ruhusa za umma ili mradi wa nje uweze kuandika juu yake, unapata kosa lifuatalo:
Hata hivyo, hii inaweza kutumika kwa shambulio za DoS.
Wakati Cloud Function inaundwa, picha mpya ya docker inasukumwa kwenye Kijiji cha Vitu cha mradi. Nilijaribu kubadilisha picha hiyo na picha mpya, na hata kufuta picha ya sasa (na picha ya cache
) na hakuna kilichobadilika, kazi ya wingu inaendelea kufanya kazi. Kwa hivyo, labda inaweza kuwa na uwezekano wa kutumia shambulio la Race Condition kama ilivyo na bucket kubadilisha kontena la docker ambalo litakimbia lakini kubadilisha picha iliyohifadhiwa si rahisi kuathiri Cloud Function.
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)