GCP - Public Buckets Privilege Escalation

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merchandise
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud Github-Repositorys senden.

Buckets Privilege Escalation

Wenn die Bucket-Richtlinie entweder "allUsers" oder "allAuthenticatedUsers" erlaubte, in ihre Bucket-Richtlinie zu schreiben (die storage.buckets.setIamPolicy-Berechtigung), dann kann jeder die Bucket-Richtlinie ändern und sich selbst vollen Zugriff gewähren.

Berechtigungen überprüfen

Es gibt 2 Möglichkeiten, die Berechtigungen über einen Bucket zu überprüfen. Die erste Möglichkeit besteht darin, sie anzufordern, indem Sie eine Anfrage an https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam senden oder gsutil iam get gs://BUCKET_NAME ausführen.

Wenn Ihr Benutzer (möglicherweise zu allUsers oder allAuthenticatedUsers gehörend) keine Berechtigungen zum Lesen der IAM-Richtlinie des Buckets hat (storage.buckets.getIamPolicy), funktioniert das nicht.

Die andere Option, die immer funktioniert, besteht darin, den testPermissions-Endpunkt des Buckets zu verwenden, um herauszufinden, ob Sie die angegebene Berechtigung haben, z. B. den Zugriff auf: https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam/testPermissions?permissions=storage.buckets.delete&permissions=storage.buckets.get&permissions=storage.buckets.getIamPolicy&permissions=storage.buckets.setIamPolicy&permissions=storage.buckets.update&permissions=storage.objects.create&permissions=storage.objects.delete&permissions=storage.objects.get&permissions=storage.objects.list&permissions=storage.objects.update

Eskalation

Um Storage Admin an allAuthenticatedUsers zu gewähren, ist es möglich, Folgendes auszuführen:

gsutil iam ch group:allAuthenticatedUsers:admin gs://BUCKET_NAME

Eine weitere Attacke wäre es, den Bucket zu entfernen und in Ihrem Konto neu zu erstellen, um das Eigentum zu stehlen.

Referenzen

https://rhinosecuritylabs.com/gcp/google-cloud-platform-gcp-bucket-enumeration/

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Wenn Sie Ihr Unternehmen in HackTricks beworben sehen möchten oder HackTricks im PDF-Format herunterladen möchten, überprüfen Sie die ABONNEMENTPLÄNE!
Holen Sie sich das offizielle PEASS & HackTricks-Merch
Entdecken Sie The PEASS Family, unsere Sammlung exklusiver NFTs
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie mir auf Twitter 🐦 @carlospolopm.
Teilen Sie Ihre Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repositories einreichen.

PreviousGCP - Storage Unauthenticated Enum NextGWS - Workspace Pentesting

Last updated 2 months ago