GCP - local privilege escalation ssh pivoting
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
в цьому сценарії ми будемо припускати, що ви зламали обліковий запис без привілеїв всередині ВМ у проекті Compute Engine.
Дивовижно, але дозволи GPC комп'ютерного двигуна, який ви зламали, можуть допомогти вам підвищити привілеї локально всередині машини. Навіть якщо це не завжди буде дуже корисно в хмарному середовищі, добре знати, що це можливо.
Обчислювальні екземпляри ймовірно, там для виконання деяких скриптів для виконання дій з їхніми обліковими записами служби.
Оскільки IAM є дуже детальним, обліковий запис може мати права на читання/запис над ресурсом, але немає прав на перегляд.
Чудовим гіпотетичним прикладом цього є обчислювальний екземпляр, який має дозвіл на читання/запис резервних копій у сховище, яке називається instance82736-long-term-xyz-archive-0332893
.
Виконання gsutil ls
з командного рядка не повертає нічого, оскільки обліковий запис служби не має дозволу IAM storage.buckets.list
. Однак, якщо ви виконаєте gsutil ls gs://instance82736-long-term-xyz-archive-0332893
, ви можете знайти повну резервну копію файлової системи, що надає вам доступ до даних у відкритому тексті, до яких ваш локальний обліковий запис Linux не має доступу.
Ви можете знайти цю назву кошика всередині скрипта (в bash, Python, Ruby...).
Адміністратори можуть додавати користувацькі метадані на екземпляр та рівень проекту. Це просто спосіб передати произвольні пари ключ/значення в екземпляр, і зазвичай використовується для змінних середовища та скриптів запуску/вимкнення.
Більше того, можливо додати userdata, що є скриптом, який буде виконуватись щоразу, коли машина запускається або перезавантажується, і до якого можна доступитися з кінцевої точки метаданих.
Для отримання додаткової інформації перегляньте:
Більшість з наступних запропонованих дозволів надаються за замовчуванням обліковому запису Compute SA, єдина проблема в тому, що стандартний обсяг доступу заважає SA їх використовувати. Однак, якщо cloud-platform
обсяг увімкнено або просто compute
обсяг увімкнено, ви зможете зловживати ними.
Перевірте наступні дозволи:
Перевірте, чи інші користувачі увійшли в gcloud всередині коробки та залишили свої облікові дані у файловій системі:
Це найцікавіші файли:
~/.config/gcloud/credentials.db
~/.config/gcloud/legacy_credentials/[ACCOUNT]/adc.json
~/.config/gcloud/legacy_credentials/[ACCOUNT]/.boto
~/.credentials.json
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)