GCP - Storage Privesc

Storage

Taarifa za Msingi:

storage.objects.get

Ruhusa hii inakuruhusu kupakua faili zilizohifadhiwa ndani ya Cloud Storage. Hii inaweza kukuruhusu kupandisha mamlaka kwa sababu katika baadhi ya matukio taarifa nyeti huhifadhiwa hapo. Zaidi ya hayo, baadhi ya huduma za GCP huhifadhi taarifa zao katika mifuko:

• GCP Composer: Unapounda Mazingira ya Composer, kanuni za DAG zote zitahifadhiwa ndani ya mfuko. Kazi hizi zinaweza kuwa na taarifa za kuvutia ndani ya kanuni zao.

• GCR (Container Registry): Picha za kontena huhifadhiwa ndani ya mifuko, ambayo inamaanisha kwamba ikiwa unaweza kusoma mifuko hiyo utaweza kupakua picha na kutafuta leaks na/au kanuni ya chanzo.

storage.objects.setIamPolicy

Unaweza kujipa ruhusa ya kudhulumu yoyote ya matukio ya awali ya sehemu hii.

storage.buckets.setIamPolicy

Kwa mfano wa jinsi ya kubadilisha ruhusa kwa kutumia ruhusa hii angalia ukurasa huu:

storage.hmacKeys.create

Kipengele cha "interoperability" cha Cloud Storage, kilichoundwa kwa ajili ya mawasiliano ya msalaba wa wingu kama na AWS S3, kinahusisha kuunda funguo za HMAC kwa Akaunti za Huduma na watumiaji. Mshambuliaji anaweza kutumia hii kwa kuunda funguo za HMAC kwa Akaunti ya Huduma yenye mamlaka ya juu, hivyo kupandisha mamlaka ndani ya Cloud Storage. Ingawa funguo za HMAC zinazohusishwa na watumiaji zinaweza kupatikana tu kupitia konsoli ya wavuti, funguo za ufikiaji na siri zinabaki kupatikana milele, zikiwa na uwezo wa kuhifadhi upatikanaji wa akiba. Kwa upande mwingine, funguo za HMAC zinazohusishwa na Akaunti za Huduma zinapatikana kupitia API, lakini funguo zao za ufikiaji na siri hazipatikani baada ya kuundwa, kuongeza kiwango cha ugumu kwa upatikanaji wa kudumu.

# Create key
gsutil hmac create <sa-email> # You might need to execute this inside a VM instance

## If you have TROUBLES creating the HMAC key this was you can also do it contacting the API directly:
PROJECT_ID = '$PROJECT_ID'
TARGET_SERVICE_ACCOUNT = f"exam-storage-sa-read-flag-3@{PROJECT_ID}.iam.gserviceaccount.com"
ACCESS_TOKEN = "$CLOUDSDK_AUTH_ACCESS_TOKEN"
import requests
import json
key = requests.post(
f'https://www.googleapis.com/storage/v1/projects/{PROJECT_ID}/hmacKeys',
params={'access_token': ACCESS_TOKEN, 'serviceAccountEmail': TARGET_SERVICE_ACCOUNT}
).json()
#print(json.dumps(key, indent=4))
print(f'ID: {key["metadata"]["accessId"]}')
print(f'Secret: {key["secret"]}')


# Configure gsutil to use the HMAC key
gcloud config set pass_credentials_to_gsutil false
gsutil config -a

# Use it
gsutil ls gs://[BUCKET_NAME]

# Restore
gcloud config set pass_credentials_to_gsutil true

Scripti nyingine ya kutekeleza kwa njia hii inaweza kupatikana hapa.

storage.objects.create, storage.objects.delete = Ruhusa za Kuandika Hifadhi

Ili kuunda kitu kipya ndani ya bakuli unahitaji storage.objects.create na, kulingana na nyaraka, unahitaji pia storage.objects.delete ili kubadilisha kitu kilichopo.

Kuvunja kwa kawaida kwa bakuli ambapo unaweza kuandika kwenye wingu ni katika kesi ambapo bakuli linaokoa faili za seva za wavuti, unaweza kuwa na uwezo wa kuhifadhi msimbo mpya ambao utatumika na programu ya wavuti.

Composer

Composer ni Apache Airflow inayosimamiwa ndani ya GCP. Ina vipengele kadhaa vya kuvutia:

• Inafanya kazi ndani ya GKE cluster, hivyo SA ambayo cluster inatumia inapatikana na msimbo unaotembea ndani ya Composer

• Vipengele vyote vya mazingira ya composer (msimbo wa DAGs, plugins na data) vinahifadhiwa ndani ya bakuli la GCP. Ikiwa mshambuliaji ana ruhusa za kusoma na kuandika juu yake, anaweza kufuatilia bakuli na wakati wowote DAG inaundwa au kusasishwa, kuwasilisha toleo lililo na backdoor ili mazingira ya composer yapate toleo lililo na backdoor kutoka hifadhi.

Unaweza kupata PoC ya shambulio hili katika repo: https://github.com/carlospolop/Monitor-Backdoor-Composer-DAGs

Cloud Functions

• Msimbo wa Cloud Functions unahifadhiwa katika Hifadhi na kila wakati toleo jipya linapoundwa msimbo unasukumwa kwenye bakuli na kisha kontena jipya linajengwa kutoka kwa msimbo huu. Hivyo, kufuta msimbo kabla ya toleo jipya kujengwa kunawezekana kufanya kazi ya wingu kutekeleza msimbo wa kiholela.

Unaweza kupata PoC ya shambulio hili katika repo: https://github.com/carlospolop/Monitor-Backdoor-Cloud-Functions

App Engine

Toleo za AppEngine zinaunda data fulani ndani ya bakuli kwa muundo wa jina: staging.<project-id>.appspot.com. Ndani ya bakuli hii, inawezekana kupata folda inayoitwa ae ambayo itakuwa na folda kwa kila toleo la programu ya AppEngine na ndani ya folda hizi itawezekana kupata faili ya manifest.json. Faili hii ina json yenye faili zote ambazo zinapaswa kutumika kuunda toleo maalum. Zaidi ya hayo, inawezekana kupata majina halisi ya faili, URL zao ndani ya bakuli la GCP (faili ndani ya bakuli zilibadilisha majina yao kwa hash yao ya sha1) na hash ya sha1 ya kila faili.

Kumbuka kwamba haiwezekani kuchukua bakuli hii kabla kwa sababu watumiaji wa GCP hawana mamlaka ya kuunda bakuli kwa kutumia jina la kikoa appspot.com.

Hata hivyo, kwa ruhusa za kusoma na kuandika juu ya bakuli hii, inawezekana kupandisha mamlaka kwa SA iliyoambatanishwa na toleo la App Engine kwa kufuatilia bakuli na wakati wowote mabadiliko yanapofanywa (toleo jipya), kubadilisha toleo jipya haraka iwezekanavyo. Kwa njia hii, kontena linaloundwa kutoka kwa msimbo huu litatekeleza msimbo wa backdoored.

Shambulio lililotajwa linaweza kutekelezwa kwa njia nyingi tofauti, zote huanza kwa kufuatilia bakuli ya staging.<project-id>.appspot.com:

• Pakia msimbo mpya kamili wa toleo la AppEngine kwenye bakuli tofauti na inapatikana na kuandaa faili ya manifest.json yenye jina jipya la bakuli na hash za sha1 za hizo. Kisha, wakati toleo jipya linaundwa ndani ya bakuli, unahitaji tu kubadilisha faili ya manifest.json na kupakia ile mbaya.

• Pakia toleo lililobadilishwa la requirements.txt ambalo litatumia msimbo wa utegemezi mbaya na kusasisha faili ya manifest.json na jina jipya la faili, URL na hash yake.

• Pakia faili iliyobadilishwa ya main.py au app.yaml ambayo itatekeleza msimbo mbaya na kusasisha faili ya manifest.json na jina jipya la faili, URL na hash yake.

Unaweza kupata PoC ya shambulio hili katika repo: https://github.com/carlospolop/Monitor-Backdoor-AppEngine

GCR

• Google Container Registry inahifadhi picha ndani ya bakuli, ikiwa unaweza kuandika bakuli hizo unaweza kuwa na uwezo wa kuhamasisha kwa upande ambapo bakuli hizo zinatumika.

• Bakuli inayotumiwa na GCR itakuwa na URL inayofanana na gs://<eu/usa/asia/nothing>.artifacts.<project>.appspot.com (Subdomains za kiwango cha juu zimeelezwa hapa).

Marejeleo

• https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/#:~:text=apiKeys.-,create,privileges%20than%20our%20own%20user.