GCP - Compute Instances

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

Basiese Inligting

Google Cloud Berekeningsinstansies is aanpasbare virtuele masjiene op Google se wolk-infrastruktuur, wat skaalbare en aanvraagbare rekenkrag bied vir 'n wye verskeidenheid toepassings. Hulle bied kenmerke soos globale implementering, volhoubare stoorplek, buigsame OS-keuses, en sterk netwerk- en sekuriteitsintegrasies, wat hulle 'n veelsydige keuse maak vir die gasheer van webwerwe, die verwerking van data, en die doeltreffende hardloop van toepassings in die wolk.

Vertroulike VM

Vertroulike VM's maak gebruik van hardeware-gebaseerde sekuriteitskenmerke wat deur die jongste generasie AMD EPYC-verwerkers aangebied word, wat geheueversleuteling en veilige versleutelde virtualisering insluit. Hierdie kenmerke stel die VM in staat om die data wat daarin verwerk en gestoor word, selfs teen die gasbedryfstelsel en hipervisor te beskerm.

Om 'n Vertroulike VM te hardloop, mag dit nodig wees om dinge soos die tipe van die masjien, netwerk koppelvlak, opstartskyfbeeld te verander.

Skyf & Skyfversleuteling

Dit is moontlik om die skyf te kies wat gebruik moet word of 'n nuwe een te skep. As jy 'n nuwe een kies, kan jy:

Die grootte van die skyf kies
Die OS kies
Aandui of jy die skyf wil verwyder wanneer die instansie verwyder word
Versleuteling: Standaard sal 'n Google-bestuurde sleutel gebruik word, maar jy kan ook 'n sleutel van KMS kies of aandui ra-sleutel om te gebruik.

Implementeer Houverpakking

Dit is moontlik om 'n houer binne die virtuele masjien te implementeer. Dit is moontlik om die beeld wat gebruik moet word te konfigureer, die bevel wat binne-in uitgevoer moet word, argumente, 'n volume te koppel, en omgewingsveranderlikes (gevoelige inligting?) in te stel en verskeie opsies vir hierdie houer te konfigureer soos uitvoer as bevoorreg, stdin en pseudo TTY.

Diensrekening

Standaard sal die Rekenaar-ingenieursverwysingsdiensrekening gebruik word. Die e-pos van hierdie SA is soos: <proj-nr>-compute@developer.gserviceaccount.com Hierdie diensrekening het Redakteursrol oor die hele projek (hoë voorregte).

En die standaardtoegangsbereike is die volgende:

https://www.googleapis.com/auth/devstorage.read_only -- Leestoegang tot emmers :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append

Dit is egter moontlik om dit cloud-platform te verleen met 'n kliek of spesifiseer aangepaste eenhede.

Vuurwal

Dit is moontlik om HTTP- en HTTPS-verkeer toe te laat.

Netwerke

IP-deurverwysing: Dit is moontlik om IP-deurverwysing vanaf die skepping van die instansie te aktiveer.
Gasheernaam: Dit is moontlik om die instansie 'n permanente gasheernaam te gee.
Koppelvlak: Dit is moontlik om 'n netwerkkoppelvlak by te voeg

Ekstra Sekuriteit

Hierdie opsies sal die sekuriteit van die VM verhoog en word aanbeveel:

Veilige opstart: Veilige opstart help om jou VM-instansies teen opstartvlak- en kernvlak-malware en rootkits te beskerm.
Aktiveer vTPM: Virtuele Vertroude Platformmodule (vTPM) valideer jou gas-VM se voor-opstart en opstartintegriteit, en bied sleutelgenerering en -beskerming.
Integriteitstoediening: Integriteitstoediening laat jou toe om die hardloop-opstartintegriteit van jou geskilde VM-instansies te monitor en verifieer met behulp van Stackdriver-rapporte. Vereis dat vTPM geaktiveer word.

VM-toegang

Die algemene manier om toegang tot die VM moontlik te maak, is deur sekere SSH-openbare sleutels toe te laat om toegang tot die VM te verkry. Dit is egter ook moontlik om die toegang tot die VM moontlik te maak via die os-config-diens met behulp van IAM. Dit is ook moontlik om 2FA te aktiveer om toegang tot die VM met hierdie diens te verkry. Wanneer hierdie diens geaktiveer is, is die toegang via SSH-sleutels gedeaktiveer.

Metadata

Dit is moontlik om outomatisering (gebruikersdata in AWS) te definieer wat skelopdragte is wat elke keer uitgevoer sal word wanneer die masjien aangeskakel of herlaai word.

Dit is ook moontlik om ekstra metadatasleutel-waarde waardes by te voeg wat toeganklik sal wees vanaf die metadate-eindpunt. Hierdie inligting word gewoonlik gebruik vir omgewingsveranderlikes en aanvangs-/afsluitingskriptos. Dit kan verkry word deur die beskryf-metode van 'n bevel in die opnoemingsafdeling te gebruik, maar dit kan ook van binne die instansie verkry word deur die metadate-eindpunt te benader.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Verder sal die outentiekeerder-token vir die gekoppelde diensrekening en algemene inligting oor die instansie, netwerk en projek ook beskikbaar wees vanaf die metadata-eindpunt. Vir meer inligting, kyk:

Cloud SSRFHackTricks

Versleuteling

'n Deur Google bestuurde versleutelingssleutel word standaard gebruik, maar 'n Kliëntbestuurde versleutelingssleutel (CMEK) kan gekonfigureer word. Jy kan ook konfigureer wat om te doen as die gebruikte CMEF herroep word: Niks of die VM afskakel.

PreviousGCP - Compute Enum NextGCP - VPC & Networking

Last updated 1 month ago