GCP - Storage Enum

Storage

Google Cloud Platform (GCP) Storage, yapılandırılmamış veriler için yüksek dayanıklılık ve erişilebilirlik sağlayan bulut tabanlı bir depolama çözümüdür. Performans, erişilebilirlik ve maliyete dayalı olarak Standart, Nearline, Coldline ve Arşiv dahil olmak üzere çeşitli depolama sınıfları sunar. GCP Storage ayrıca verileri etkili bir şekilde yönetmek ve güvence altına almak için yaşam döngüsü politikaları, sürümleme ve erişim kontrolü gibi gelişmiş özellikler sağlar.

Kova bir bölgede, 2 bölgede veya çok bölgeli (varsayılan) olarak depolanabilir.

Storage Types

• Standart Depolama: Bu, sık erişilen verilere yüksek performans, düşük gecikme süresi ile erişim sunan varsayılan depolama seçeneğidir. Web sitesi içeriği sunma, medya akışı ve veri analitiği boru hatları barındırma gibi geniş bir kullanım yelpazesi için uygundur.

• Nearline Depolama: Bu depolama sınıfı, Standart Depolama'dan daha düşük depolama maliyetleri ve biraz daha yüksek erişim maliyetleri sunar. Sık erişilmeyen veriler için optimize edilmiştir ve minimum depolama süresi 30 gündür. Yedekleme ve arşivleme amaçları için idealdir.

• Coldline Depolama: Bu depolama sınıfı, sık erişilmeyen verilerin uzun vadeli depolaması için optimize edilmiştir, minimum depolama süresi 90 gündür. Nearline Depolama'dan daha düşük depolama maliyetleri sunar, ancak daha yüksek erişim maliyetleri vardır.

• Arşiv Depolama: Bu depolama sınıfı, çok nadir erişilen soğuk veriler için tasarlanmıştır ve minimum depolama süresi 365 gündür. Tüm GCP depolama seçeneklerinin en düşük depolama maliyetlerini sunar, ancak en yüksek erişim maliyetleri vardır. Uyumluluk veya düzenleyici nedenlerle saklanması gereken verilerin uzun vadeli korunumu için uygundur.

• Autoclass: Eğer verilere ne kadar erişeceğinizi bilmiyorsanız, Autoclass'ı seçebilir ve GCP, maliyetleri en aza indirmek için depolama türünü otomatik olarak değiştirecektir.

Access Control

Varsayılan olarak, erişimi IAM üzerinden kontrol etmeniz önerilir, ancak ACL'lerin kullanımını etkinleştirmek de mümkündür. Sadece IAM kullanmayı (varsayılan) seçerseniz ve 90 gün geçerse, kova için ACL'leri etkinleştiremeyeceksiniz.

Versioning

Sürümlemeyi etkinleştirmek mümkündür, bu kovanın içindeki dosyanın eski sürümlerini kaydedecektir. Tutmak istediğiniz sürüm sayısını ve hatta eski sürümlerin (geçersiz sürümler) ne kadar süreyle saklanmasını istediğinizi yapılandırmak mümkündür. Standart tür için 7 gün önerilmektedir.

Geçersiz bir sürümün meta verileri saklanır. Ayrıca, geçersiz sürümlerin ACL'leri de saklanır, bu nedenle eski sürümlerin mevcut sürümden farklı ACL'leri olabilir.

Daha fazla bilgi için belgelere göz atın.

Retention Policy

Kovadaki nesnelerin silinmesini ne kadar süreyle yasaklamak istediğinizi belirtin (en azından uyumluluk için çok faydalıdır). Sadece bir sürümleme veya saklama politikası aynı anda etkinleştirilebilir.

Encryption

Varsayılan olarak nesneler, Google tarafından yönetilen anahtarlar kullanılarak şifrelenir, ancak KMS'den bir anahtar da kullanabilirsiniz.

Public Access

Dış kullanıcıların (GCP'ye giriş yapmış olsun ya da olmasın) kovaların içeriğine erişim vermek mümkündür. Varsayılan olarak, bir kova oluşturulduğunda, kovanın kamusal olarak açılma seçeneği devre dışı bırakılmıştır, ancak yeterli izinlerle değiştirilebilir.

Bir kovaya erişim için URL formatı https://storage.googleapis.com/<bucket-name> veya https://<bucket_name>.storage.googleapis.com şeklindedir (her ikisi de geçerlidir).

HMAC Keys

HMAC anahtarı, bir tür kimlik bilgisi olup, Cloud Storage'da bir hizmet hesabı veya kullanıcı hesabı ile ilişkilendirilebilir. HMAC anahtarını, Cloud Storage'a yapılan isteklerde yer alan imzalar oluşturmak için kullanırsınız. İmzalar, belirli bir isteğin kullanıcı veya hizmet hesabı tarafından yetkilendirildiğini gösterir.

HMAC anahtarlarının iki ana bileşeni vardır: bir erişim kimliği ve bir gizli anahtar.

• Erişim Kimliği: Belirli bir hizmet veya kullanıcı hesabına bağlı alfanümerik bir dizedir. Bir hizmet hesabına bağlı olduğunda, dize 61 karakter uzunluğundadır ve bir kullanıcı hesabına bağlı olduğunda, dize 24 karakter uzunluğundadır. Aşağıda bir erişim kimliği örneği gösterilmektedir:

GOOGTS7C7FUP3AIRVJTE2BCDKINBTES3HC2GY5CBFJDCQ2SYHV6A6XXVTJFSA

• Gizli Anahtar: Belirli bir erişim kimliğine bağlı 40 karakterlik Base-64 kodlu bir dizedir. Gizli anahtar, yalnızca sizin ve Cloud Storage'ın bildiği önceden paylaşılmış bir anahtardır. İmza oluşturmak için gizli anahtarınızı kimlik doğrulama sürecinin bir parçası olarak kullanırsınız. Aşağıda bir gizli anahtar örneği gösterilmektedir:

bGoa+V7g/yqDXvKRqq+JTFn4uQZbPiQJo4pf9RzJ

Hem erişim kimliği hem de gizli anahtar, bir HMAC anahtarını benzersiz bir şekilde tanımlar, ancak gizli anahtar çok daha hassas bir bilgidir, çünkü imzalar oluşturmak için kullanılır.

Enumeration

# List all storage buckets in project
gsutil ls

# Get each bucket configuration (protections, CLs, times, configs...)
gsutil ls -L

# List contents of a specific bucket
gsutil ls gs://bucket-name/
gsutil ls -r gs://bucket-name/ # Recursive
gsutil ls -a gs://bucket-name/ # Get ALL versions of objects

# Cat the context of a file without copying it locally
gsutil cat 'gs://bucket-name/folder/object'
gsutil cat 'gs://bucket-name/folder/object#<num>' # cat specific version

# Copy an object from the bucket to your local storage for review
gsutil cp gs://bucket-name/folder/object ~/

# List using a raw OAuth token
## Useful because "CLOUDSDK_AUTH_ACCESS_TOKEN" and "gcloud config set auth/access_token_file" doesn't work with gsutil
curl -H "Authorization: Bearer $TOKEN" "https://storage.googleapis.com/storage/v1/b/<storage-name>/o"
# Download file content from bucket
curl -H "Authorization: Bearer $TOKEN" "https://storage.googleapis.com/storage/v1/b/supportstorage-58249/o/flag.txt?alt=media" --output -

# Enumerate HMAC keys
gsutil hmac list

# Get permissions
gcloud storage buckets get-iam-policy gs://bucket-name/
gcloud storage objects get-iam-policy gs://bucket-name/folder/object

Eğer bucket'ları listelemekte izin reddedildi hatası alıyorsanız, yine de içeriğe erişiminiz olabilir. Artık bucket'ların isimlendirme kuralını bildiğinize göre, olası isimlerin bir listesini oluşturabilir ve onlara erişmeyi deneyebilirsiniz:

for i in $(cat wordlist.txt); do gsutil ls -r gs://"$i"; done

storage.objects.list ve storage.objects.get izinleriyle, bunları indirmek için kovadan tüm klasörleri ve dosyaları listeleyebilmelisiniz. Bunu bu Python betiğiyle gerçekleştirebilirsiniz:

import requests
import xml.etree.ElementTree as ET

def list_bucket_objects(bucket_name, prefix='', marker=None):
url = f"https://storage.googleapis.com/{bucket_name}?prefix={prefix}"
if marker:
url += f"&marker={marker}"
response = requests.get(url)
xml_data = response.content
root = ET.fromstring(xml_data)
ns = {'ns': 'http://doc.s3.amazonaws.com/2006-03-01'}
for contents in root.findall('.//ns:Contents', namespaces=ns):
key = contents.find('ns:Key', namespaces=ns).text
print(key)
next_marker = root.find('ns:NextMarker', namespaces=ns)
if next_marker is not None:
next_marker_value = next_marker.text
list_bucket_objects(bucket_name, prefix, next_marker_value)

list_bucket_objects('<storage-name>')

Yetki Yükseltme

Aşağıdaki sayfada depolama izinlerini kötüye kullanarak yetki yükseltme yöntemini kontrol edebilirsiniz:

Kimlik Doğrulaması Olmadan Enum

Sömürü Sonrası

Süreklilik