GCP - Public Buckets Privilege Escalation

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres moyens de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
Obtenez le merchandising officiel PEASS & HackTricks
Découvrez La Famille PEASS, notre collection d'NFTs exclusifs
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦 @carlospolopm.
Partagez vos astuces de piratage en soumettant des PR aux dépôts github HackTricks et HackTricks Cloud.

Escalation de privilèges des seaux

Si la politique du seau autorisait soit “allUsers” soit “allAuthenticatedUsers” à écrire dans leur politique de seau (la permission storage.buckets.setIamPolicy), alors n'importe qui peut modifier la politique du seau et s'accorder un accès complet.

Vérifier les permissions

Il y a 2 façons de vérifier les permissions sur un seau. La première consiste à les demander en faisant une requête à https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam ou en exécutant gsutil iam get gs://BUCKET_NAME.

Cependant, si votre utilisateur (potentiellement appartenant à allUsers ou allAuthenticatedUsers") n'a pas les permissions pour lire la politique iam du seau (storage.buckets.getIamPolicy), cela ne fonctionnera pas.

L'autre option, qui fonctionnera toujours, est d'utiliser le point de terminaison testPermissions du seau pour déterminer si vous avez la permission spécifiée, par exemple en accédant à : https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam/testPermissions?permissions=storage.buckets.delete&permissions=storage.buckets.get&permissions=storage.buckets.getIamPolicy&permissions=storage.buckets.setIamPolicy&permissions=storage.buckets.update&permissions=storage.objects.create&permissions=storage.objects.delete&permissions=storage.objects.get&permissions=storage.objects.list&permissions=storage.objects.update

Escalader

Avec le programme CLI “gsutil” Google Storage, nous pouvons exécuter la commande suivante pour accorder à “allAuthenticatedUsers” l'accès au rôle “Storage Admin”, escaladant ainsi les privilèges qui nous ont été accordés sur le seau :

gsutil iam ch group:allAuthenticatedUsers:admin gs://BUCKET_NAME

L'un des principaux avantages de l'escalade de privilèges de LegacyBucketOwner à Storage Admin est la capacité d'utiliser le privilège "storage.buckets.delete". En théorie, vous pourriez supprimer le bucket après avoir augmenté vos privilèges, puis vous pourriez créer le bucket dans votre propre compte pour voler le nom.

Références

https://rhinosecuritylabs.com/gcp/google-cloud-platform-gcp-bucket-enumeration/

Apprenez le hacking AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres moyens de soutenir HackTricks :

Si vous souhaitez voir votre entreprise annoncée dans HackTricks ou télécharger HackTricks en PDF, consultez les PLANS D'ABONNEMENT!
Obtenez le merchandising officiel PEASS & HackTricks
Découvrez La Famille PEASS, notre collection d'NFTs exclusifs
Rejoignez le 💬 groupe Discord ou le groupe Telegram ou suivez-moi sur Twitter 🐦 @carlospolopm.
Partagez vos astuces de hacking en soumettant des PR aux dépôts github HackTricks et HackTricks Cloud.

PrécédentGCP - Storage Unauthenticated Enum SuivantGWS - Workspace Pentesting

Dernière mise à jour il y a 3 mois