GCP - AppEngine Privesc

App Engine

App Engine hakkında daha fazla bilgi için kontrol edin:

appengine.applications.get, appengine.instances.get, appengine.instances.list, appengine.operations.get, appengine.operations.list, appengine.services.get, appengine.services.list, appengine.versions.create, appengine.versions.get, appengine.versions.list, cloudbuild.builds.get,iam.serviceAccounts.actAs, resourcemanager.projects.get, storage.objects.create, storage.objects.list

Bunlar, gcloud cli kullanarak bir Uygulama dağıtmak için gerekli izinlerdir. Belki get ve list olanlar kaçınılabilir.

Python kod örneklerini https://github.com/GoogleCloudPlatform/python-docs-samples/tree/main/appengine adresinde bulabilirsiniz.

Varsayılan olarak, Uygulama hizmetinin adı default olacak ve aynı isimle yalnızca 1 örnek olabilir. Bunu değiştirmek ve ikinci bir Uygulama oluşturmak için, app.yaml dosyasında kök anahtarın değerini service: my-second-app gibi bir şeyle değiştirin.

cd python-docs-samples/appengine/flexible/hello_world
gcloud app deploy #Upload and start application inside the folder

En az 10-15 dakika bekleyin, eğer çalışmazsa başka bir kez dağıtım yapın ve birkaç dakika bekleyin.

Uygulamanın URL'si https://<proj-name>.oa.r.appspot.com/ veya https://<service_name>-dot-<proj-name>.oa.r.appspot.com gibi bir şeydir.

Eşdeğer izinleri güncelle

Bir AppEngine'i güncellemek için yeterli izniniz olabilir ancak yeni bir tane oluşturmak için yeterli izniniz olmayabilir. Bu durumda mevcut App Engine'i güncellemenin yolu şudur:

# Find the code of the App Engine in the buckets
gsutil ls

# Download code
mkdir /tmp/appengine2
cd /tmp/appengine2
## In this case it was found in this custom bucket but you could also use the
## buckets generated when the App Engine is created
gsutil cp gs://appengine-lab-1-gcp-labs-4t04m0i6-3a97003354979ef6/labs_appengine_1_premissions_privesc.zip .
unzip labs_appengine_1_premissions_privesc.zip

## Now modify the code..

## If you don't have an app.yaml, create one like:
cat >> app.yaml <<EOF
runtime: python312

entrypoint: gunicorn -b :\$PORT main:app

env_variables:
A_VARIABLE: "value"
EOF

# Deploy the changes
gcloud app deploy

# Update the SA if you need it (and if you have actas permissions)
gcloud app update --service-account=<sa>@$PROJECT_ID.iam.gserviceaccount.com

Eğer zaten bir AppEngine'i ele geçirdiyseniz ve appengine.applications.update iznine ve actAs yetkisine sahipseniz, AppEngine tarafından kullanılan hizmet hesabını şu şekilde değiştirebilirsiniz:

gcloud app update --service-account=<sa>@$PROJECT_ID.iam.gserviceaccount.com

appengine.instances.enableDebug, appengine.instances.get, appengine.instances.list, appengine.operations.get, appengine.services.get, appengine.services.list, appengine.versions.get, appengine.versions.list, compute.projects.get

Bu izinlerle, App Engine örneklerine ssh ile giriş yapmak mümkündür, türü esnek (standart değil). Bazı list ve get izinleri gerçekten gerekli olmayabilir.

gcloud app instances ssh --service <app-name> --version <version-id> <ID>

appengine.applications.update, appengine.operations.get

Bunun sadece arka plan SA'nın google'ın uygulamaları kurmak için kullanacağı şekilde değiştiğini düşünüyorum, bu yüzden bunu hizmet hesabını çalmak için kötüye kullanabileceğinizi düşünmüyorum.

gcloud app update --service-account=<sa_email>

appengine.versions.getFileContents, appengine.versions.update

Bu izinleri nasıl kullanacağınızdan veya faydalı olup olmadıklarından emin değilim (kod değiştiğinde yeni bir versiyon oluşturulduğu için, sadece kodu veya birinin IAM rolünü güncelleyip güncelleyemeyeceğinizi bilmiyorum, ama sanırım yapabilmelisiniz, belki de bucket içindeki kodu değiştirerek??).

Buckets Üzerinde Yazma Erişimi

Belirtildiği gibi, appengine versiyonları staging.<project-id>.appspot.com formatında bir bucket içinde bazı veriler oluşturur. Bu bucket'ı önceden ele geçirmenin mümkün olmadığını unutmayın çünkü GCP kullanıcıları appspot.com alan adını kullanarak bucket oluşturmak için yetkilendirilmemiştir.

Ancak, bu bucket üzerinde okuma ve yazma erişimi ile, bucket'ı izleyerek ve herhangi bir değişiklik yapıldığında mümkün olan en hızlı şekilde kodu değiştirerek AppEngine versiyonuna bağlı SA'nın ayrıcalıklarını artırmak mümkündür. Bu şekilde, bu koddan oluşturulan konteyner arka kapılı kodu çalıştıracaktır.

Daha fazla bilgi ve PoC için bu sayfadaki ilgili bilgileri kontrol edin:

Artifact Registry Üzerinde Yazma Erişimi

App Engine'in Artifact Registry içinde docker görüntüleri oluşturmasına rağmen, bu hizmet içindeki görüntüyü değiştirseniz bile ve App Engine örneğini kaldırıp (yeni bir tane dağıtıldığında) çalıştırılan kod değişmez. Bucket'larla olduğu gibi bir Yarış Koşulu saldırısı gerçekleştirerek çalıştırılan kodu üzerine yazmanın mümkün olabileceği düşünülebilir, ancak bu test edilmedi.