GCP - Run Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Для отримання додаткової інформації про Cloud Run перегляньте:
run.services.create
, iam.serviceAccounts.actAs
, run.routes.invoke
Зловмисник з цими дозволами може створити службу запуску, що виконує довільний код (довільний контейнер Docker), прикріпити до неї обліковий запис служби та змусити код екстрагувати токен облікового запису служби з метаданих.
Скрипт експлуатації для цього методу можна знайти тут, а образ Docker можна знайти тут.
Зверніть увагу, що при використанні gcloud run deploy
замість просто створення служби потрібен дозвіл update
. Перегляньте приклад тут.
run.services.update
, iam.serviceAccounts.actAs
Як і в попередньому випадку, але для оновлення служби:
run.services.setIamPolicy
Надайте собі попередні дозволи над cloud Run.
run.jobs.create
, run.jobs.run
, iam.serviceaccounts.actAs
,(run.jobs.get
)Запустіть задачу з реверс-шелом, щоб вкрасти обліковий запис служби, вказаний у команді. Ви можете знайти експлойт тут.
run.jobs.update
,run.jobs.run
,iam.serviceaccounts.actAs
,(run.jobs.get
)Схоже на попереднє, можливо оновити роботу та оновити SA, команду та виконати її:
run.jobs.setIamPolicy
Надайте собі попередні дозволи на Cloud Jobs.
run.jobs.run
, run.jobs.runWithOverrides
, (run.jobs.get
)Зловживайте змінними середовища виконання завдання, щоб виконати довільний код і отримати зворотний шелл для вивантаження вмісту контейнера (джерельний код) та доступу до SA всередині метаданих:
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)