Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Cloud Platform (GCP) Storage ni suluhisho la hifadhi la msingi wa wingu ambalo linatoa hifadhi ya vitu yenye kudumu na inapatikana kwa data zisizo na muundo. Inatoa daraja mbalimbali za hifadhi kulingana na utendaji, upatikanaji, na gharama, ikiwa ni pamoja na Standard, Nearline, Coldline, na Archive. GCP Storage pia inatoa vipengele vya hali ya juu kama sera za mzunguko wa maisha, toleo, na udhibiti wa ufikiaji ili kudhibiti na kulinda data kwa ufanisi.
Ndoo inaweza kuhifadhiwa katika eneo, katika maeneo 2 au mikoa mingi (default).
Standard Storage: Hii ni chaguo la hifadhi la default ambalo linatoa utendaji wa juu, ufikiaji wa chini wa ucheleweshaji kwa data inayopatikana mara kwa mara. Inafaa kwa matumizi mbalimbali, ikiwa ni pamoja na kuhudumia maudhui ya tovuti, kuhamasisha vyombo vya habari, na kuandaa mipango ya uchambuzi wa data.
Nearline Storage: Daraja hili la hifadhi linatoa gharama za hifadhi za chini na gharama za ufikiaji kidogo zaidi kuliko Standard Storage. Imeboreshwa kwa data inayopatikana mara chache, ikiwa na muda wa chini wa hifadhi wa siku 30. Inafaa kwa madhumuni ya nakala na uhifadhi.
Coldline Storage: Daraja hili la hifadhi limeboreshwa kwa hifadhi ya muda mrefu ya data inayopatikana mara chache, ikiwa na muda wa chini wa hifadhi wa siku 90. Inatoa gharama za hifadhi za chini kuliko Nearline Storage, lakini kwa gharama za ufikiaji za juu.
Archive Storage: Daraja hili la hifadhi limetengenezwa kwa data baridi ambayo inapatikana mara chache sana, ikiwa na muda wa chini wa hifadhi wa siku 365. Inatoa gharama za chini zaidi za hifadhi kati ya chaguo zote za hifadhi za GCP lakini kwa gharama za juu zaidi za ufikiaji. Inafaa kwa uhifadhi wa muda mrefu wa data ambayo inahitaji kuhifadhiwa kwa sababu za kufuata sheria au kanuni.
Autoclass: Ikiwa hujui ni kiasi gani utapata ufikiaji wa data, unaweza kuchagua Autoclass na GCP itabadilisha aina ya hifadhi kiotomatiki ili kupunguza gharama.
Kwa default inashauriwa kudhibiti ufikiaji kupitia IAM, lakini pia inawezekana kuwezesha matumizi ya ACLs. Ikiwa unachagua kutumia IAM pekee (default) na siku 90 zinapita, huwezi kuwezesha ACLs kwa ndoo.
Inawezekana kuwezesha toleo, hii itahifadhi toleo za zamani za faili ndani ya ndoo. Inawezekana kufafanua idadi ya matoleo unayotaka kuhifadhi na hata ni muda gani unataka matoleo yasiyo ya sasa (matoleo ya zamani) kuishi. Inashauriwa ni siku 7 kwa aina ya Standard.
Metadata ya toleo lisilo la sasa inahifadhiwa. Zaidi ya hayo, ACLs za matoleo yasiyo ya sasa pia zinahifadhiwa, hivyo matoleo ya zamani yanaweza kuwa na ACLs tofauti na toleo la sasa.
Learn more in the docs.
Onyesha ni muda gani unataka kuzuia kufutwa kwa Vitu ndani ya ndoo (ni muhimu sana kwa kufuata sheria angalau). Ni moja tu ya toleo au sera ya uhifadhi inaweza kuwezeshwa kwa wakati mmoja.
Kwa default vitu vinahifadhiwa kwa kutumia funguo zinazodhibitiwa na Google, lakini unaweza pia kutumia funguo kutoka KMS.
Inawezekana kutoa watumiaji wa nje (waliosajiliwa GCP au la) ufikiaji wa maudhui ya ndoo. Kwa default, wakati ndoo inaundwa, itakuwa na imezima chaguo la kufichua hadharani ndoo, lakini kwa ruhusa za kutosha zinaweza kubadilishwa.
Muundo wa URL wa kufikia ndoo ni https://storage.googleapis.com/<bucket-name> au https://<bucket_name>.storage.googleapis.com (zote ni halali).
Funguo za HMAC ni aina ya credential na zinaweza kuunganishwa na akaunti ya huduma au akaunti ya mtumiaji katika Cloud Storage. Unatumia funguo za HMAC kuunda sahihi ambazo kisha zinajumuishwa katika maombi ya Cloud Storage. Sahihi zinaonyesha kuwa ombwe fulani limeidhinishwa na mtumiaji au akaunti ya huduma.
Funguo za HMAC zina vipengele viwili vikuu, ID ya ufikiaji na siri.
Access ID: Mfuatano wa alphanumeric uliofungwa na akaunti maalum ya huduma au mtumiaji. Wakati umeunganishwa na akaunti ya huduma, mfuatano ni urefu wa herufi 61, na wakati umeunganishwa na akaunti ya mtumiaji, mfuatano ni urefu wa herufi 24. Ifuatayo inaonyesha mfano wa ID ya ufikiaji:
GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA
Secret: Mfuatano wa herufi 40 ulio na msimbo wa Base-64 ambao umefungwa na ID maalum ya ufikiaji. Siri ni funguo iliyoshirikiwa awali ambayo wewe na Cloud Storage pekee mnajua. Unatumia siri yako kuunda sahihi kama sehemu ya mchakato wa uthibitishaji. Ifuatayo inaonyesha mfano wa siri:
bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ
Wote ID ya ufikiaji na siri vinatambulisha kipekee funguo za HMAC, lakini siri ni taarifa nyeti zaidi, kwa sababu inatumika kuunda sahihi.
Ikiwa unapata kosa la ruhusa kukataa wakati wa kuorodhesha ndoo, huenda bado ukawa na ufikiaji wa maudhui. Hivyo, sasa kwamba unajua kuhusu kanuni za majina ya ndoo, unaweza kuunda orodha ya majina yanayowezekana na kujaribu kuyafikia:
Kwa ruhusa storage.objects.list na storage.objects.get, unapaswa kuwa na uwezo wa kuorodhesha folda zote na faili kutoka kwenye bucket ili kuzipakua. Unaweza kufanikisha hilo kwa kutumia script hii ya Python:
Katika ukurasa ufuatao unaweza kuangalia jinsi ya kudhulumu ruhusa za hifadhi ili kupandisha hadhi:
GCP - Storage PrivescLearn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
