GCP - Source Repositories Enum

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Basiese Inligting

Google Cloud Source Repositories is 'n ten volle uitgeruste, skaalbare, privaat Git-opslagdiens. Dit is ontwerp om jou bronkode in 'n ten volle bestuurde omgewing te huisves, wat naadloos integreer met ander GCP-gereedskap en -diens. Dit bied 'n samewerkende en veilige plek vir spanne om hul kode te stoor, bestuur en op te spoor.

Kernkenmerke van Cloud Source Repositories sluit in:

  1. Ten volle Bestuurde Git-huisvesing: Bied die bekende funksionaliteit van Git, wat beteken dat jy gewone Git-opdragte en werkstrome kan gebruik.

  2. Integrasie met GCP-diens: Integreer met ander GCP-diens soos Cloud Build, Pub/Sub, en App Engine vir end-to-end naspeurbaarheid van kode tot implementering.

  3. Privaat Repositories: Verseker dat jou kode veilig en privaat gestoor word. Jy kan toegang beheer met behulp van Cloud Identity en Access Management (IAM) rolle.

  4. Bronkode-analise: Werk saam met ander GCP-gereedskap om outomatiese analise van jou bronkode te voorsien, wat potensiële probleme soos foute, kwesbaarhede, of slegte kodepraktyke identifiseer.

  5. Samewerkingsgereedskap: Ondersteun samewerkende kodering met gereedskap soos samenvoegingsversoeke, kommentaar, en resensies.

  6. Spieëlondersteuning: Laat jou toe om Cloud Source Repositories te koppel met repositories wat op GitHub of Bitbucket gehuisves word, wat outomatiese synchronisasie moontlik maak en 'n eenvormige aansig van al jou repositories bied.

OffSec-inligting

  • Die bronrepositories-konfigurasie binne 'n projek sal 'n Diensrekening hê wat gebruik word om Cloud Pub/Sub-boodskappe te publiseer. Die verstek een wat gebruik word, is die Compute SA. Tog, Ek dink nie dit is moontlik om sy token te steel van Bron Repositories nie, aangesien dit in die agtergrond uitgevoer word.

  • Om die kode binne die GCP Cloud Source Repositories-webkonsolide (https://source.cloud.google.com/) te sien, moet die kode standaard binne die meester tak wees.

  • Jy kan ook 'n spieël Cloud Repository skep wat na 'n repo van Github of Bitbucket wys (wat toegang tot daardie platforms gee).

  • Dit is moontlik om te kodeer en te foutopspoor van binne GCP.

  • Standaard voorkom Source Repositories dat privaatsleutels in toewysings gedruk word, maar dit kan gedeaktiveer word.

Maak Oop in Cloud Shell

Dit is moontlik om die repository in Cloud Shell oop te maak, 'n venster soos hierdie sal verskyn:

Dit sal jou in staat stel om te kodeer en te foutopspoor in Cloud Shell (wat cloudshell in gevaar kan bring).

Enumerasie

# Repos enumeration
gcloud source repos list #Get names and URLs
gcloud source repos describe <repo_name>
gcloud source repos get-iam-policy <repo_name>

# gcloud repo clone
gcloud source repos clone <REPO NAME>
gcloud source repos get-iam-policy <REPO NAME>
... git add & git commit -m ...
git push --set-upstream origin master
git push -u origin master

# Access via git
## To add a SSH key go to https://source.cloud.google.com/user/ssh_keys (no gcloud command)
git clone ssh://username@domain.com@source.developers.google.com:2022/p/<proj-name>/r/<repo-name>
git add, commit, push...

Voorregverhoging & Post Exploitation

GCP - Sourcerepos Privesc

Ongeagte Enum

GCP - Source Repositories Unauthenticated Enum
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated