GCP - Compute Instances

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basic Information

Google Cloud Compute Instances, Google'ın bulut altyapısında özelleştirilebilir sanal makinelerdir, geniş bir uygulama yelpazesi için ölçeklenebilir ve talep üzerine hesaplama gücü sunar. Küresel dağıtım, kalıcı depolama, esnek işletim sistemi seçimleri ve güçlü ağ ve güvenlik entegrasyonları gibi özellikler sunarak, web sitelerini barındırmak, verileri işlemek ve uygulamaları bulutta verimli bir şekilde çalıştırmak için çok yönlü bir seçenek haline gelir.

Confidential VM

Confidential VM'ler, AMD EPYC işlemcilerinin en son nesli tarafından sunulan donanım tabanlı güvenlik özelliklerini kullanır; bu özellikler arasında bellek şifreleme ve güvenli şifreli sanallaştırma bulunmaktadır. Bu özellikler, VM'nin işlenen ve içinde depolanan verileri, hatta ana işletim sistemi ve hipervizörden korumasını sağlar.

Confidential VM çalıştırmak için, makine türü, ağ arayüzü, önyükleme diski görüntüsü gibi şeyleri değiştirmek gerekebilir.

Disk & Disk Encryption

Kullanılacak diski seçmek veya yeni bir tane oluşturmak mümkündür. Yeni bir tane seçerseniz:

Diskin boyutunu seçin
İşletim sistemini seçin
Örneğin silindiğinde diski silmek isteyip istemediğinizi belirtin
Şifreleme: Varsayılan olarak bir Google yönetimli anahtar kullanılacaktır, ancak bir KMS anahtarı seçebilir veya kullanılacak ham anahtarı belirtebilirsiniz.

Deploy Container

Sanal makine içinde bir konteyner dağıtmak mümkündür. Kullanılacak görüntüyü yapılandırmak, içinde çalıştırılacak komutu, argümanları, bir hacmi bağlamak ve env değişkenlerini (hassas bilgiler?) ayarlamak ve bu konteyner için yetkili olarak çalıştırma, stdin ve sahte TTY gibi çeşitli seçenekleri yapılandırmak mümkündür.

Service Account

Varsayılan olarak, Compute Engine varsayılan hizmet hesabı kullanılacaktır. Bu SA'nın e-posta adresi şöyle görünür: <proj-num>-compute@developer.gserviceaccount.com Bu hizmet hesabı, tüm projede Editör rolüne sahiptir (yüksek ayrıcalıklar).

Ve varsayılan erişim kapsamları şunlardır:

https://www.googleapis.com/auth/devstorage.read_only -- Kovalara okuma erişimi :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append

Ancak, bir tıklama ile cloud-platform vermek veya özel olanları belirtmek mümkündür.

Firewall

HTTP ve HTTPS trafiğine izin vermek mümkündür.

Networking

IP Yönlendirme: Örneğin oluşturulurken IP yönlendirmeyi etkinleştirmek mümkündür.
Ana bilgisayar adı: Örneğe kalıcı bir ana bilgisayar adı vermek mümkündür.
Arayüz: Bir ağ arayüzü eklemek mümkündür.

Extra Security

Bu seçenekler, VM'nin güvenliğini artıracak ve önerilmektedir:

Güvenli önyükleme: Güvenli önyükleme, VM örneklerinizi önyükleme düzeyinde ve çekirdek düzeyinde kötü amaçlı yazılımlara ve rootkit'lere karşı korumaya yardımcı olur.
vTPM'yi etkinleştir: Sanal Güvenilir Platform Modülü (vTPM), misafir VM'nizin önyükleme öncesi ve önyükleme bütünlüğünü doğrular ve anahtar oluşturma ve koruma sunar.
Bütünlük denetimi: Bütünlük izleme, Stackdriver raporlarını kullanarak korumalı VM örneklerinizin çalışma zamanı önyükleme bütünlüğünü izlemenizi ve doğrulamanızı sağlar. vTPM'nin etkinleştirilmesi gereklidir.

VM Access

VM'ye erişimi etkinleştirmenin yaygın yolu, belirli SSH genel anahtarlarının VM'ye erişmesine izin vermektir. Ancak, bu hizmeti kullanarak IAM ile VM'ye erişimi etkinleştirmek de mümkündür. Ayrıca, bu hizmeti kullanarak VM'ye erişim için 2FA'yı etkinleştirmek mümkündür. Bu hizmet etkinleştirildiğinde, SSH anahtarları ile erişim devre dışı bırakılır.

Metadata

Her seferinde makine açıldığında veya yeniden başlatıldığında çalıştırılacak otomasyon (AWS'deki userdata) olarak tanımlamak mümkündür.

Ayrıca, metadata uç noktasından erişilebilecek ekstra metadata anahtar-değer çiftleri eklemek de mümkündür. Bu bilgi genellikle ortam değişkenleri ve başlangıç/kapatma betikleri için kullanılır. Bu, enumerasyon bölümündeki bir komuttan describe yöntemini kullanarak elde edilebilir, ancak aynı zamanda metadata uç noktasına erişerek örneğin içinden de alınabilir.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Ayrıca, bağlı hizmet hesabı için auth token ve örnek, ağ ve proje hakkında genel bilgiler de metadata uç noktasından erişilebilir olacaktır. Daha fazla bilgi için kontrol edin:

Cloud SSRFHackTricks

Şifreleme

Varsayılan olarak Google tarafından yönetilen bir şifreleme anahtarı kullanılır, ancak Müşteri tarafından yönetilen bir şifreleme anahtarı (CMEK) yapılandırılabilir. Kullanılan CMEK'in iptal edilmesi durumunda ne yapılacağını da yapılandırabilirsiniz: Not almak veya VM'yi kapatmak.

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live bizi takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousGCP - Compute Enum NextGCP - VPC & Networking

Last updated 3 days ago