GCP - IAM, Principals & Org Policies Enum

Aprende hacking en AWS desde cero hasta experto con htARTE (Experto en Equipos Rojos de AWS de HackTricks)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
Obtén la merchandising oficial de PEASS & HackTricks
Descubre La Familia PEASS, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.

Cuentas de Servicio

Para obtener una introducción sobre qué es una cuenta de servicio, consulta:

Enumeración

Una cuenta de servicio siempre pertenece a un proyecto:

gcloud iam service-accounts list --project <project>

Usuarios y Grupos

Para obtener una introducción sobre cómo funcionan los Usuarios y Grupos en GCP, consulta:

pageGCP - Basic Information

Enumeración

Con los permisos serviceusage.services.enable y serviceusage.services.use es posible habilitar servicios en un proyecto y utilizarlos.

Ten en cuenta que por defecto, a los usuarios de Workspace se les otorga el rol de Creador de Proyectos, dándoles acceso a crear nuevos proyectos. Cuando un usuario crea un proyecto, se le otorga el rol de owner sobre el mismo. Por lo tanto, podría habilitar estos servicios en el proyecto para poder enumerar Workspace.

Sin embargo, ten en cuenta que también es necesario tener suficientes permisos en Workspace para poder llamar a estas APIs.

Si puedes habilitar el servicio admin y si tu usuario tiene suficientes privilegios en Workspace, podrías enumerar todos los grupos y usuarios con las siguientes líneas. Incluso si dice identity groups, también devuelve usuarios sin ningún grupo:

# Enable admin
gcloud services enable admin.googleapis.com
gcloud services enable cloudidentity.googleapis.com

# Using admin.googleapis.com
## List all users
gcloud organizations list #The DIRECTORY_CUSTOMER_ID is the Workspace ID
gcloud beta identity groups preview --customer <workspace-id>

# Using cloudidentity.googleapis.com
## List groups of a user (you can list at least the groups you belong to)
gcloud identity groups memberships search-transitive-groups --member-email <email> --labels=cloudidentity.googleapis.com/groups.discussion_forum

## List Group Members (you can list at least the groups you belong to)
gcloud identity groups memberships list --group-email=<email>
### Make it transitive
gcloud identity groups memberships search-transitive-memberships --group-email=<email>

## Get a graph (if you have enough permissions)
gcloud identity groups memberships get-membership-graph --member-email=<email> --labels=cloudidentity.googleapis.com/groups.discussion_forum

En los ejemplos anteriores, el parámetro --labels es requerido, por lo que se usa un valor genérico (no es necesario si se utiliza la API directamente como PurplePanda hace aquí.

Incluso con el servicio de administrador habilitado, es posible que obtengas un error al enumerarlos porque tu usuario de espacio de trabajo comprometido no tiene suficientes permisos:

IAM

Verifica esto para obtener información básica sobre IAM.

Permisos predeterminados

Según la documentación: Cuando se crea un recurso de organización, todos los usuarios de tu dominio reciben los roles de Creador de cuenta de facturación y Creador de proyecto de forma predeterminada. Estos roles predeterminados permiten a tus usuarios comenzar a usar Google Cloud de inmediato, pero no están destinados a ser utilizados en la operación regular de tu recurso de organización.

Estos roles otorgan los permisos:

billing.accounts.create y resourcemanager.organizations.get
resourcemanager.organizations.get y resourcemanager.projects.create

Además, cuando un usuario crea un proyecto, se le otorga automáticamente el propietario de ese proyecto según la documentación. Por lo tanto, de forma predeterminada, un usuario podrá crear un proyecto y ejecutar cualquier servicio en él (¿mineros? ¿Enumeración de Workspace? ...)

El privilegio más alto en una Organización de GCP es el rol de Administrador de la Organización.

set-iam-policy vs add-iam-policy-binding

En la mayoría de los servicios podrás cambiar los permisos sobre un recurso utilizando el método add-iam-policy-binding o set-iam-policy. La principal diferencia es que add-iam-policy-binding agrega un nuevo enlace de rol a la política IAM existente mientras que set-iam-policy eliminará los permisos otorgados anteriormente y establecerá solo los indicados en el comando.

Enumeración

# Roles
## List roles
gcloud iam roles list --project $PROJECT_ID # List only custom roles
gcloud iam roles list --filter='etag:AA=='

## Get perms and description of role
gcloud iam roles describe roles/container.admin
gcloud iam roles describe --project <proj-name> <role-name>

# Policies
gcloud organizations get-iam-policy <org_id>
gcloud resource-manager folders get-iam-policy <folder-id>
gcloud projects get-iam-policy <project-id>

# MISC
## Testable permissions in resource
gcloud iam list-testable-permissions --filter "NOT apiDisabled: true" <resource>
## Grantable roles to a resource
gcloud iam list-grantable-roles <project URL>

Enumeración de IAM de cloudasset

Existen diferentes formas de verificar todos los permisos de un usuario en diferentes recursos (como organizaciones, carpetas, proyectos...) utilizando este servicio.

El permiso cloudasset.assets.searchAllIamPolicies puede solicitar todas las políticas de IAM dentro de un recurso.

gcloud asset search-all-iam-policies #By default uses current configured project
gcloud asset search-all-iam-policies --scope folders/1234567
gcloud asset search-all-iam-policies --scope organizations/123456
gcloud asset search-all-iam-policies --scope projects/project-id-123123

El permiso cloudasset.assets.analyzeIamPolicy puede solicitar todas las políticas de IAM de un principal dentro de un recurso.

# Needs perm "cloudasset.assets.analyzeIamPolicy" over the asset
gcloud asset analyze-iam-policy --organization=<org-id> \
--identity='user:email@hacktricks.xyz'
gcloud asset analyze-iam-policy --folder=<folder-id> \
--identity='user:email@hacktricks.xyz'
gcloud asset analyze-iam-policy --project=<project-name> \
--identity='user:email@hacktricks.xyz'

El permiso cloudasset.assets.searchAllResources permite listar todos los recursos de una organización, carpeta o proyecto. Recursos relacionados con IAM (como roles) incluidos.

gcloud asset search-all-resources --scope projects/<proj-name>
gcloud asset search-all-resources --scope folders/1234567
gcloud asset search-all-resources --scope organizations/123456

El permiso cloudasset.assets.analyzeMove puede ser útil para también recuperar políticas que afectan a un recurso como un proyecto

gcloud asset analyze-move --project=<proj-name> \
--destination-organization=609216679593

Supongo que el permiso cloudasset.assets.queryIamPolicy también podría dar acceso para encontrar permisos de principios.

# But, when running something like this
gcloud asset query --project=<proj> --statement='SELECT * FROM compute_googleapis_com_Instance'
# I get the error
ERROR: (gcloud.asset.query) UNAUTHENTICATED: QueryAssets API is only supported for SCC premium customers. See https://cloud.google.com/security-command-center/pricing

Enumeración de testIamPermissions

Si no puedes acceder a la información de IAM utilizando los métodos anteriores y estás en un Equipo Rojo, podrías utilizar la herramienta https://github.com/carlospolop/bf_my_gcp_perms para forzar tus permisos actuales.

Sin embargo, ten en cuenta que el servicio cloudresourcemanager.googleapis.com debe estar habilitado.

Escalada de privilegios

En la siguiente página puedes verificar cómo abusar de los permisos de IAM para escalar privilegios:

pageGCP - IAM Privesc

Enumeración sin autenticación

pageGCP - IAM, Principals & Org Unauthenticated Enum

Post Explotación

pageGCP - IAM Post Exploitation

Persistencia

Si tienes altos privilegios podrías:

Crear nuevos SAs (o usuarios si estás en Workspace)
Dar a los principios controlados por ti más permisos
Dar más privilegios a SAs vulnerables (SSRF en vm, función Cloud vulnerable...)
...

Políticas de la Organización

Para obtener una introducción sobre qué son las Políticas de la Organización, consulta:

pageGCP - Basic Information

Las políticas de IAM indican los permisos que los principios tienen sobre los recursos a través de roles, los cuales tienen permisos granulares asignados. Las políticas de la organización restringen cómo se pueden utilizar esos servicios o qué funciones están deshabilitadas. Esto ayuda a mejorar el principio de privilegio mínimo de cada recurso en el entorno de GCP.

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
gcloud resource-manager org-policies list --folder=FOLDER_ID
gcloud resource-manager org-policies list --project=PROJECT_ID

Escalada de privilegios

En la siguiente página puedes verificar cómo abusar de los permisos de las políticas de la organización para escalar privilegios:

pageGCP - Orgpolicy Privesc

Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!

Otras formas de apoyar a HackTricks:

Si deseas ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF, consulta los PLANES DE SUSCRIPCIÓN!
Obtén el oficial PEASS & HackTricks swag
Descubre The PEASS Family, nuestra colección exclusiva de NFTs
Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
Comparte tus trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

AnteriorGCP - Firestore Enum SiguienteGCP - KMS Enum

Última actualización hace 1 mes