GCP - local privilege escalation ssh pivoting

Bu senaryoda, bir yetkisiz hesabı bir VM içinde bir Compute Engine projesinde ele geçirdiğinizi varsayıyoruz.

Şaşırtıcı bir şekilde, ele geçirdiğiniz compute engine'ın GCP izinleri, bir makine içinde yerel olarak ayrıcalıkları yükseltmenize yardımcı olabilir. Bu, bulut ortamında her zaman çok faydalı olmasa da, bunun mümkün olduğunu bilmek iyidir.

Scriptleri okuyun

Compute Instances, muhtemelen hizmet hesaplarıyla eylemler gerçekleştirmek için bazı scriptleri çalıştırmak amacıyla oradadır.

IAM çok ayrıntılı olduğundan, bir hesap bir kaynak üzerinde okuma/yazma ayrıcalıklarına sahip olabilir ancak listeleme ayrıcalıklarına sahip olmayabilir.

Bunun harika bir varsayımsal örneği, instance82736-long-term-xyz-archive-0332893 adlı bir depolama kovasına yedekleri okuma/yazma iznine sahip bir Compute Instance'dır.

Komut satırından gsutil ls çalıştırmak hiçbir şey döndürmez, çünkü hizmet hesabı storage.buckets.list IAM iznine sahip değildir. Ancak, gsutil ls gs://instance82736-long-term-xyz-archive-0332893 komutunu çalıştırırsanız, yerel Linux hesabınızın erişiminde olmayan verilere düz metin erişimi sağlayan tam bir dosya sistemi yedeği bulabilirsiniz.

Bu kova adını bir script içinde (bash, Python, Ruby...) bulabilirsiniz.

Özel Metadata

Yönetici, örnek ve proje düzeyinde özel metadata ekleyebilir. Bu, örneğe rastgele anahtar/değer çiftleri geçmenin basit bir yoludur ve genellikle ortam değişkenleri ve başlatma/kapatma scriptleri için kullanılır.

Ayrıca, her seferinde çalıştırılacak bir script olan userdata eklemek de mümkündür ve bu, metadata uç noktasından da erişilebilir.

Daha fazla bilgi için kontrol edin:

Cloud SSRFHackTricks

IAM izinlerini kötüye kullanma

Aşağıda önerilen izinlerin çoğu varsayılan Compute SA'ya verilmiştir, tek sorun, varsayılan erişim kapsamının SA'nın bunları kullanmasını engellemesidir. Ancak, cloud-platform kapsamı etkinleştirilirse veya sadece compute kapsamı etkinleştirilirse, bunları kötüye kullanma imkanınız olacaktır.

Aşağıdaki izinleri kontrol edin:

• compute.instances.osLogin

• compute.instances.osAdminLogin

• compute.projects.setCommonInstanceMetadata

• compute.instances.setMetadata

• compute.instances.setIamPolicy

Dosya sisteminde Anahtarları Arayın

Diğer kullanıcıların kutuda gcloud'a giriş yapıp yapmadığını ve kimlik bilgilerini dosya sisteminde bırakıp bırakmadıklarını kontrol edin:

sudo find / -name "gcloud"

Bunlar en ilginç dosyalar:

• ~/.config/gcloud/credentials.db

• ~/.config/gcloud/legacy_credentials/[ACCOUNT]/adc.json

• ~/.config/gcloud/legacy_credentials/[ACCOUNT]/.boto

• ~/.credentials.json

Daha Fazla API Anahtarı regexleri

TARGET_DIR="/path/to/whatever"

# Service account keys
grep -Pzr "(?s){[^{}]*?service_account[^{}]*?private_key.*?}" \
"$TARGET_DIR"

# Legacy GCP creds
grep -Pzr "(?s){[^{}]*?client_id[^{}]*?client_secret.*?}" \
"$TARGET_DIR"

# Google API keys
grep -Pr "AIza[a-zA-Z0-9\\-_]{35}" \
"$TARGET_DIR"

# Google OAuth tokens
grep -Pr "ya29\.[a-zA-Z0-9_-]{100,200}" \
"$TARGET_DIR"

# Generic SSH keys
grep -Pzr "(?s)-----BEGIN[ A-Z]*?PRIVATE KEY[a-zA-Z0-9/\+=\n-]*?END[ A-Z]*?PRIVATE KEY-----" \
"$TARGET_DIR"

# Signed storage URLs
grep -Pir "storage.googleapis.com.*?Goog-Signature=[a-f0-9]+" \
"$TARGET_DIR"

# Signed policy documents in HTML
grep -Pzr '(?s)<form action.*?googleapis.com.*?name="signature" value=".*?">' \
"$TARGET_DIR"

Referanslar

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/