GCP Pentesting
Información Básica
Antes de comenzar el pentesting en un GCP ambiente, hay algunas cosas básicas que necesitas saber sobre cómo funciona para ayudarte a entender qué necesitas hacer, cómo encontrar configuraciones incorrectas y cómo explotarlas.
Conceptos como organización, permisos y otros conceptos básicos se explican en:
GCP - Basic InformationLaboratorios para aprender
Metodología de Pentester/Red Team de GCP
Para auditar un ambiente de GCP es muy importante saber: qué servicios se están utilizando, qué está siendo expuesto, quién tiene acceso a qué, y cómo están conectados los servicios internos de GCP y los servicios externos.
Desde el punto de vista de un Red Team, el primer paso para comprometer un ambiente de GCP es lograr obtener algunas credenciales. Aquí tienes algunas ideas sobre cómo hacerlo:
Filtraciones en github (o similar) - OSINT
Ingeniería Social (Consulta la página Workspace Security)
Reutilización de contraseñas (filtraciones de contraseñas)
Vulnerabilidades en Aplicaciones Alojadas en GCP
Server Side Request Forgery con acceso al endpoint de metadatos
Lectura de Archivos Locales
/home/USERNAME/.config/gcloud/*
C:\Users\USERNAME\.config\gcloud\*
terceros comprometidos
Empleado Interno
O comprometiendo un servicio no autenticado expuesto:
GCP - Unauthenticated Enum & AccessO si estás haciendo una revisión podrías simplemente pedir credenciales con estos roles:
GCP - Permissions for a PentestDespués de haber logrado obtener credenciales, necesitas saber a quién pertenecen esas credenciales, y a qué tienen acceso, así que necesitas realizar alguna enumeración básica:
Enumeración Básica
SSRF
Para más información sobre cómo enumerar metadatos de GCP consulta la siguiente página de hacktricks:
Whoami
En GCP puedes intentar varias opciones para tratar de adivinar quién eres:
Enumeración de Org
Principales y Enumeración de IAM
Si tienes suficientes permisos, verificar los privilegios de cada entidad dentro de la cuenta de GCP te ayudará a entender qué puedes hacer tú y otras identidades, y cómo escalar privilegios.
Si no tienes suficientes permisos para enumerar IAM, puedes robarlos mediante fuerza bruta para averiguarlos. Consulta cómo hacer la enumeración y la fuerza bruta en:
GCP - IAM, Principals & Org Policies EnumAhora que tienes algo de información sobre tus credenciales (y si eres un equipo rojo, espero que no hayas sido detectado). Es hora de averiguar qué servicios se están utilizando en el entorno. En la siguiente sección puedes consultar algunas formas de enumerar algunos servicios comunes.
Enumeración de Servicios
GCP tiene una asombrosa cantidad de servicios, en la siguiente página encontrarás información básica, cheatsheets de enumeración, cómo evitar la detección, obtener persistencia, y otros trucos de post-explotación sobre algunos de ellos:
GCP - ServicesTen en cuenta que no necesitas realizar todo el trabajo manualmente, más abajo en esta publicación puedes encontrar una sección sobre herramientas automáticas.
Además, en esta etapa podrías haber descubierto más servicios expuestos a usuarios no autenticados, podrías ser capaz de explotarlos:
GCP - Unauthenticated Enum & AccessEscalación de Privilegios, Post Explotación y Persistencia
La forma más común una vez que has obtenido algunas credenciales de la nube o has comprometido algún servicio que se ejecuta dentro de la nube es abusar de privilegios mal configurados que la cuenta comprometida puede tener. Así que, lo primero que debes hacer es enumerar tus privilegios.
Además, durante esta enumeración, recuerda que los permisos pueden establecerse en el nivel más alto de "Organización" también.
GCP - Privilege EscalationGCP - Post ExploitationGCP - PersistenceServicios Expuestos Públicamente
Mientras enumeras los servicios de GCP, podrías haber encontrado algunos de ellos exponiendo elementos a Internet (puertos de VM/Contenedores, bases de datos o servicios de cola, instantáneas o buckets...). Como pentester/equipo rojo, siempre deberías verificar si puedes encontrar información sensible / vulnerabilidades en ellos, ya que podrían proporcionarte acceso adicional a la cuenta de AWS.
En este libro deberías encontrar información sobre cómo encontrar servicios de GCP expuestos y cómo verificarlos. Sobre cómo encontrar vulnerabilidades en servicios de red expuestos, te recomendaría buscar el servicio específico en:
GCP <--> Workspace Pivoting
Comprometer principios en una plataforma podría permitir a un atacante comprometer la otra, consúltalo en:
GCP <--> Workspace PivotingHerramientas Automáticas
En la consola de GCloud, en https://console.cloud.google.com/iam-admin/asset-inventory/dashboard puedes ver recursos e IAMs que se están utilizando por proyecto.
Aquí puedes ver los activos soportados por esta API: https://cloud.google.com/asset-inventory/docs/supported-asset-types
Consulta herramientas que pueden ser utilizadas en varias nubes aquí.
gcp_scanner: Este es un escáner de recursos de GCP que puede ayudar a determinar qué nivel de acceso poseen ciertas credenciales en GCP.
gcp_enum: Script de Bash para enumerar un entorno de GCP utilizando gcloud cli y guardar los resultados en un archivo.
GCP-IAM-Privilege-Escalation: Scripts para enumerar altos privilegios de IAM y para escalar privilegios en GCP abusando de ellos (no pude hacer que se ejecutara el script de enumeración).
BF My GCP Permissions: Script para hacer un ataque de fuerza bruta a tus permisos.
gcloud config & debug
Captura de red gcloud, gsutil...
Recuerda que puedes usar el parámetro --log-http
con la gcloud
cli para imprimir las solicitudes que la herramienta está realizando. Si no deseas que los registros redacten el valor del token, usa gcloud config set log_http_redact_token false
Además, para interceptar la comunicación:
Configuración del token OAuth en gcloud
Para usar un token OAuth de cuenta de servicio exfiltrado desde el endpoint de metadatos simplemente puedes hacer:
Referencias
Last updated