GCP - Cloudbuild Privesc
Last updated
Last updated
Learn & practice AWS Hacking: Learn & practice GCP Hacking:
Для отримання додаткової інформації про Cloud Build перегляньте:
cloudbuild.builds.createЗ цим дозволом ви можете надіслати cloud build. Машина cloudbuild за замовчуванням матиме у своїй файловій системі токен облікового запису служби cloudbuild: <PROJECT_NUMBER>@cloudbuild.gserviceaccount.com. Однак ви можете вказати будь-який обліковий запис служби всередині проекту в конфігурації cloudbuild.
Отже, ви можете просто змусити машину ексфільтрувати токен на ваш сервер або отримати зворотний шелл всередині неї та отримати токен (файл, що містить токен, може змінюватися).
Ви можете знайти оригінальний скрипт експлойту (але місце, звідки він бере токен, не спрацювало для мене). Тому перевірте скрипт для автоматизації та python-скрипт для отримання зворотного шеллу всередині машини cloudbuild і (у коді ви можете знайти, як вказати інші облікові записи служби).
Для більш детального пояснення відвідайте
cloudbuild.builds.updateМожливо, з цим дозволом ви зможете оновити cloud build і просто вкрасти токен облікового запису служби, як це було виконано з попереднім дозволом (але, на жаль, на момент написання я не зміг знайти жодного способу викликати цей API).
TODO
cloudbuild.repositories.accessReadTokenЗ цим дозволом користувач може отримати токен доступу для читання, який використовується для доступу до репозиторію:
cloudbuild.repositories.accessReadWriteTokenЗ цією дозволом користувач може отримати токен доступу для читання та запису, який використовується для доступу до репозиторію:
cloudbuild.connections.fetchLinkableRepositoriesЗ цим дозволом ви можете отримати репозиторії, до яких має доступ з'єднання:
Вивчайте та практикуйте AWS Hacking: Вивчайте та практикуйте GCP Hacking:
Перевірте !
Приєднуйтесь до 💬 або або слідкуйте за нами в Twitter 🐦 .
Діліться хакерськими трюками, надсилаючи PR до та репозиторіїв на github.
