Información Básica

Antes de comenzar el pentesting de un entorno de GCP, hay algunas cosas básicas que necesitas saber sobre cómo funciona para ayudarte a entender lo que necesitas hacer, cómo encontrar configuraciones incorrectas y cómo explotarlas.

Conceptos como la jerarquía de organización, permisos y otros conceptos básicos se explican en:

Laboratorios para aprender

• https://gcpgoat.joshuajebaraj.com/

• https://github.com/ine-labs/GCPGoat

• https://github.com/lacioffi/GCP-pentest-lab/

• https://github.com/carlospolop/gcp_privesc_scripts

Metodología de Pentester/Equipo Rojo de GCP

Para auditar un entorno de GCP es muy importante saber: qué servicios se están utilizando, qué está expuesto, quién tiene acceso a qué, y cómo están conectados los servicios internos de GCP con los servicios externos.

Desde el punto de vista de un Equipo Rojo, el primer paso para comprometer un entorno de GCP es lograr obtener algunas credenciales. Aquí tienes algunas ideas sobre cómo hacerlo:

• Fugas en github (o similar) - OSINT

• Ingeniería Social (Consulta la página Seguridad de Workspace)

• Reutilización de contraseñas (fugas de contraseñas)

• Vulnerabilidades en Aplicaciones Alojadas en GCP

• Server Side Request Forgery con acceso al punto final de metadatos

• Lectura de Archivos Locales

• /home/USERNAME/.config/gcloud/*

• C:\Users\USERNAME\.config\gcloud\*

• 3ros comprometidos

• Empleado Interno

O comprometiendo un servicio no autenticado expuesto:

O si estás realizando una revisión, podrías simplemente solicitar credenciales con estos roles:

Enumeración Básica

SSRF

Para obtener más información sobre cómo enumerar metadatos de GCP, consulta la siguiente página de hacktricks:

Whoami

En GCP puedes probar varias opciones para intentar adivinar quién eres:

#If you are inside a compromise machine
gcloud auth list
curl -H "Content-Type: application/x-www-form-urlencoded" -d "access_token=$(gcloud auth print-access-token)" https://www.googleapis.com/oauth2/v1/tokeninfo
gcloud auth print-identity-token #Get info from the token

#If you compromised a metadata token or somehow found an OAuth token
curl -H "Content-Type: application/x-www-form-urlencoded" -d "access_token=<token>" https://www.googleapis.com/oauth2/v1/tokeninfo

Enumeración de la Organización

# Get organizations
gcloud organizations list #The DIRECTORY_CUSTOMER_ID is the Workspace ID
gcloud resource-manager folders list --organization <org_number> # Get folders
gcloud projects list # Get projects

Principales y Enumeración de IAM

Si tienes suficientes permisos, verificar los privilegios de cada entidad dentro de la cuenta de GCP te ayudará a entender qué pueden hacer tú y otras identidades y cómo escalar privilegios.

Si no tienes suficientes permisos para enumerar IAM, puedes robarlos por fuerza bruta para descubrirlos. Consulta cómo hacer la enumeración y fuerza bruta en:

Enumeración de Servicios

GCP tiene una cantidad asombrosa de servicios, en la siguiente página encontrarás información básica, hojas de trucos de enumeración, cómo evitar la detección, obtener persistencia y otros trucos de post-explotación sobre algunos de ellos:

Ten en cuenta que no necesitas realizar todo el trabajo manualmente, más abajo en esta publicación puedes encontrar una sección sobre herramientas automáticas.

Además, en esta etapa podrías haber descubierto más servicios expuestos a usuarios no autenticados, podrías ser capaz de explotarlos:

Escalada de Privilegios, Post Explotación y Persistencia

La forma más común una vez que has obtenido algunas credenciales de la nube o has comprometido algún servicio en ejecución dentro de una nube es abusar de los privilegios mal configurados que la cuenta comprometida pueda tener. Por lo tanto, lo primero que debes hacer es enumerar tus privilegios.

Además, durante esta enumeración, recuerda que los permisos pueden establecerse en el nivel más alto de "Organización" también.

Servicios Expuestos Públicamente

Mientras enumeras los servicios de GCP, es posible que hayas encontrado algunos de ellos exponiendo elementos a Internet (puertos de VM/Contenedores, bases de datos o servicios de colas, instantáneas o buckets...). Como pentester/equipo rojo, siempre debes verificar si puedes encontrar información sensible/vulnerabilidades en ellos, ya que podrían proporcionarte acceso adicional a la cuenta de GCP.

En este libro deberías encontrar información sobre cómo encontrar servicios de GCP expuestos y cómo verificarlos. Sobre cómo encontrar vulnerabilidades en servicios de red expuestos, te recomendaría buscar el servicio específico en:

Pivoteo GCP <--> Workspace

Comprometer a los principales en una plataforma podría permitir a un atacante comprometer la otra, revísalo en:

Herramientas Automáticas

• En la consola de GCloud, en https://console.cloud.google.com/iam-admin/asset-inventory/dashboard puedes ver los recursos y IAMs utilizados por el proyecto.

• Aquí puedes ver los activos admitidos por esta API: https://cloud.google.com/asset-inventory/docs/supported-asset-types

• Consulta las herramientas que se pueden usar en varias nubes aquí.

• gcp_scanner: Este es un escáner de recursos de GCP que puede ayudar a determinar qué nivel de acceso poseen ciertas credenciales en GCP.

# Install
git clone https://github.com/google/gcp_scanner.git
cd gcp_scanner
virtualenv -p python3 venv
source venv/bin/activate
pip install -r requirements.txt
# Execute with gcloud creds
python3 __main__.py -o /tmp/output/ -g "$HOME/.config/gcloud"

• gcp_enum: Script de Bash para enumerar un entorno de GCP utilizando la interfaz de línea de comandos de gcloud y guardar los resultados en un archivo.

• GCP-IAM-Privilege-Escalation: Scripts para enumerar altos privilegios de IAM y para escalar privilegios en GCP abusando de ellos (no pude hacer funcionar el script de enumeración).

Configuración y depuración de gcloud

# Login so gcloud can use your credentials
gcloud auth login
gcloud config set project security-devbox
gcloud auth print-access-token

# Login so SDKs can use your user credentials
gcloud auth application-default login
gcloud auth application-default set-quota-project security-devbox
gcloud auth application-default print-access-token

# Update gcloud
gcloud components update

Captura de red de gcloud, gsutil...

Recuerda que puedes utilizar el parámetro --log-http con la interfaz de línea de comandos de gcloud para imprimir las solicitudes que la herramienta está realizando. Si no deseas que los registros redacten el valor del token, utiliza gcloud config set log_http_redact_token false

Además, para interceptar la comunicación:

gcloud config set proxy/address 127.0.0.1
gcloud config set proxy/port 8080
gcloud config set proxy/type http
gcloud config set auth/disable_ssl_validation True

# If you don't want to completely disable ssl_validation use:
gcloud config set core/custom_ca_certs_file cert.pem

# Back to normal
gcloud config unset proxy/address
gcloud config unset proxy/port
gcloud config unset proxy/type
gcloud config unset auth/disable_ssl_validation
gcloud config unset core/custom_ca_certs_file

Configurar token de OAuth en gcloud

Para utilizar un token de OAuth de la cuenta de servicio exfiltrado desde el punto de metadatos, simplemente puedes hacer lo siguiente:

# Via env vars
export CLOUDSDK_AUTH_ACCESS_TOKEN=<token>
gcloud projects list

# Via setup
echo "<token>" > /some/path/to/token
gcloud config set auth/access_token_file /some/path/to/token
gcloud projects list
gcloud config unset auth/access_token_file

Referencias

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/