GCP - Generic Permissions Privesc
Загальні цікаві дозволи
*.setIamPolicy
Якщо ви володієте користувачем, який має дозвіл setIamPolicy
в ресурсі, ви можете підвищити привілеї в цьому ресурсі, оскільки зможете змінити IAM політику цього ресурсу та надати собі більше привілеїв над ним.
Цей дозвіл також може дозволити підвищити привілеї для інших принципалів, якщо ресурс дозволяє виконувати код, а iam.ServiceAccounts.actAs не є необхідним.
cloudfunctions.functions.setIamPolicy
Змініть політику Cloud Function, щоб дозволити собі її викликати.
Існує десятки типів ресурсів з таким видом дозволу, ви можете знайти всі з них на https://cloud.google.com/iam/docs/permissions-reference, шукаючи setIamPolicy.
*.create, *.update
Ці дозволи можуть бути дуже корисними для спроби підвищити привілеї в ресурсах, створюючи новий або оновлюючи існуючий. Ці види дозволів особливо корисні, якщо ви також маєте дозвіл iam.serviceAccounts.actAs над обліковим записом служби, а ресурс, над яким ви маєте .create/.update, може прикріпити обліковий запис служби.
*ServiceAccount*
Цей дозвіл зазвичай дозволяє вам доступатися або змінювати обліковий запис служби в деякому ресурсі (наприклад: compute.instances.setServiceAccount). Це може призвести до вектора підвищення привілеїв, але це залежатиме від кожного конкретного випадку.
Last updated