GCP VPC & Δικτύωση

Μάθετε πώς λειτουργεί αυτό στο:

Απαρίθμηση

# List networks
gcloud compute networks list
gcloud compute networks describe <network>

# List subnetworks
gcloud compute networks subnets list
gcloud compute networks subnets get-iam-policy <name> --region <region>
gcloud compute networks subnets describe <name> --region <region>

# List FW rules in networks
gcloud compute firewall-rules list --format="table(
name,
network,
direction,
priority,
sourceRanges.list():label=SRC_RANGES,
destinationRanges.list():label=DEST_RANGES,
allowed[].map().firewall_rule().list():label=ALLOW,
denied[].map().firewall_rule().list():label=DENY,
sourceTags.list():label=SRC_TAGS,
sourceServiceAccounts.list():label=SRC_SVC_ACCT,
targetTags.list():label=TARGET_TAGS,
targetServiceAccounts.list():label=TARGET_SVC_ACCT,
disabled
)"

# List Hierarchical Firewalls
gcloud compute firewall-policies list  (--folder <value>| --organization <value>)
gcloud compute firewall-policies describe <fw_policy>
gcloud compute firewall-policies list-rules <fw_policy>

# Get Firewalls of each region
gcloud compute network-firewall-policies list
## Get final FWs applied in a region
gcloud compute network-firewall-policies get-effective-firewalls --network=<vpc_name> --region <region>

Μπορείτε εύκολα να βρείτε περιπτώσεις υπολογιστικών μηχανών με ανοιχτούς κανόνες του τείχους προστασίας με το https://gitlab.com/gitlab-com/gl-security/security-operations/gl-redteam/gcp_firewall_enum

Περιπτώσεις υπολογιστικών μηχανών

Αυτός είναι ο τρόπος με τον οποίο μπορείτε να εκτελέσετε εικονικές μηχανές μέσα στο GCP. Ελέγξτε αυτήν τη σελίδα για περισσότερες πληροφορίες:

Απαρίθμηση

# Get list of zones
# It's interesting to know which zones are being used
gcloud compute regions list | grep -E "NAME|[^0]/"

# List compute instances & get info
gcloud compute instances list
gcloud compute instances describe <instance name>
gcloud compute instances get-iam-policy <instance> --zone=ZONE
gcloud compute instances get-screenshot <instance name> # Instace must have "Display Device" enabled
gcloud compute instances os-inventory list-instances # Get OS info of instances (OS Config agent is running on instances)


# Enumerate disks
gcloud compute disks list
gcloud compute disks describe <disk>
gcloud compute disks get-iam-policy <disk>

Για περισσότερες πληροφορίες σχετικά με το πώς να SSH ή να τροποποιήσετε τα μεταδεδομένα ενός instance για να αυξήσετε τα προνόμια, ελέγξτε αυτήν τη σελίδα:

Αύξηση Προνομίων

Στην παρακάτω σελίδα, μπορείτε να ελέγξετε πώς να καταχραστείτε τα δικαιώματα υπολογισμού για να αυξήσετε τα προνόμια:

Ανεξουσιοδότητη Απαρίθμηση

Μετά την Εκμετάλλευση

Διατήρηση

Καταγραφές Σειριακής Κονσόλας

Οι καταγραφές σειριακής κονσόλας του Compute Engine είναι μια λειτουργία που σας επιτρέπει να προβάλλετε και να διαγνώσετε τις καταγραφές εκκίνησης και λειτουργικού συστήματος των εικονικών μηχανών σας.

Οι καταγραφές σειριακής κονσόλας παρέχουν μια χαμηλού επιπέδου προβολή της διαδικασίας εκκίνησης του instance, συμπεριλαμβανομένων των μηνυμάτων πυρήνα, των σεναρίων init και άλλων συστημικών γεγονότων που συμβαίνουν κατά τη διάρκεια της εκκίνησης. Αυτό μπορεί να είναι χρήσιμο για την αποσφαλμάτωση προβλημάτων εκκίνησης, την αναγνώριση μη σωστών ρυθμίσεων ή σφαλμάτων λογισμικού ή την επίλυση προβλημάτων συνδεσιμότητας στο δίκτυο.

Αυτές οι καταγραφές μπορεί να αποκαλύψουν ευαίσθητες πληροφορίες από τα αρχεία καταγραφής του συστήματος που οι χρήστες με χαμηλά προνόμια δεν βλέπουν συνήθως, αλλά με τις κατάλληλες δικαιώματα IAM μπορείτε να τις διαβάσετε.

Μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή gcloud για να επερωτήσετε τις καταγραφές της σειριακής θύρας (το δικαίωμα που απαιτείται είναι compute.instances.getSerialPortOutput):

gcloud compute instances get-serial-port-output <instance-name>

Διαχειριστής Διαμόρφωσης Λειτουργικού Συστήματος

Μπορείτε να χρησιμοποιήσετε την υπηρεσία διαχείρισης διαμόρφωσης λειτουργικού συστήματος για να εγκαταστήσετε, να αναζητήσετε και να διατηρήσετε συνεπείς διαμορφώσεις (επιθυμητή κατάσταση και λογισμικό) για την εικονική μηχανή σας (VM). Στο Compute Engine, πρέπει να χρησιμοποιήσετε πολιτικές επισκεπτών για να διατηρήσετε συνεπείς διαμορφώσεις λογισμικού σε μια VM.

Η δυνατότητα διαχείρισης διαμόρφωσης λειτουργικού συστήματος σας επιτρέπει να καθορίσετε πολιτικές διαμόρφωσης που καθορίζουν ποια πακέτα λογισμικού πρέπει να εγκατασταθούν, ποιες υπηρεσίες πρέπει να ενεργοποιηθούν και ποια αρχεία ή διαμορφώσεις πρέπει να υπάρχουν στις VM σας. Μπορείτε να χρησιμοποιήσετε μια δηλωτική προσέγγιση για τη διαχείριση της διαμόρφωσης του λογισμικού των VM σας, που σας επιτρέπει να αυτοματοποιήσετε και να κλιμακώσετε τη διαδικασία διαχείρισης της διαμόρφωσης σας πιο εύκολα.

Αυτό επίσης επιτρέπει την είσοδο σε περιπτώσεις μέσω δικαιωμάτων IAM, οπότε είναι πολύ χρήσιμο για προνομιούχα ανέβασμα και αλλαγή περιβάλλοντος.

Περισσότερα για το 2fa στο OS-config, ισχύει μόνο αν ο χρήστης είναι χρήστης, αν είναι ένας SA (όπως ο υπολογιστικός SA) δεν απαιτείται τίποτα επιπλέον.

Απαρίθμηση

gcloud compute os-config patch-deployments list
gcloud compute os-config patch-deployments describe <patch-deployment>

gcloud compute os-config patch-jobs list
gcloud compute os-config patch-jobs describe <patch-job>

Εικόνες

Προσαρμοσμένες Εικόνες

Οι προσαρμοσμένες εικόνες υπολογιστικών πόρων μπορεί να περιέχουν ευαίσθητες πληροφορίες ή άλλες ευάλωτες ρυθμίσεις που μπορείτε να εκμεταλλευτείτε.

Όταν δημιουργείτε μια εικόνα, μπορείτε να επιλέξετε 3 τύπους κρυπτογράφησης: Χρήση διαχειριζόμενου κλειδιού της Google (προεπιλογή), ενός κλειδιού από το KMS ή ενός ακατέργαστου κλειδιού που δίνεται από τον πελάτη.

Απαρίθμηση

Μπορείτε να αναζητήσετε τη λίστα των μη προτυποποιημένων εικόνων σε ένα έργο με την παρακάτω εντολή:

gcloud compute machine-images list
gcloud compute machine-images describe <name>
gcloud compute machine-images get-iam-policy <name>

Στη συνέχεια, μπορείτε να εξάγετε τους εικονικούς δίσκους από οποιαδήποτε εικόνα σε πολλαπλά formats. Η παρακάτω εντολή θα εξάγει την εικόνα test-image σε μορφή qcow2, επιτρέποντάς σας να κατεβάσετε το αρχείο και να δημιουργήσετε έναν τοπικό VM για περαιτέρω έρευνα:

gcloud compute images export --image test-image \
--export-format qcow2 --destination-uri [BUCKET]

# Execute container inside a docker
docker run --rm -ti gcr.io/<project-name>/secret:v1 sh

Ανόδου Προνομίων

Ελέγξτε την ενότητα ανόδου προνομίων των Compute Instances.

Προσαρμοσμένα Πρότυπα Εικονικών Μηχανών

Ένα πρότυπο εικονικής μηχανής ορίζει τις ιδιότητες της εικονικής μηχανής για να βοηθήσει στην ανάπτυξη συνεπών διαμορφώσεων. Αυτά μπορεί να περιέχουν τα ίδια ευαίσθητα δεδομένα με τα προσαρμοσμένα μεταδεδομένα μιας εκτελούμενης εικονικής μηχανής. Μπορείτε να χρησιμοποιήσετε τις παρακάτω εντολές για να ερευνήσετε:

# List the available templates
gcloud compute instance-templates list

# Get the details of a specific template
gcloud compute instance-templates describe [TEMPLATE NAME]

Μπορεί να είναι ενδιαφέρον να γνωρίζουμε ποιος δίσκος χρησιμοποιείται για τις νέες εικόνες, αλλά αυτά τα πρότυπα συνήθως δεν περιέχουν ευαίσθητες πληροφορίες.

Snapshots

Τα snapshots είναι αντίγραφα ασφαλείας των δίσκων. Σημειώστε ότι αυτό δεν είναι το ίδιο με την κλωνοποίηση ενός δίσκου (άλλη διαθέσιμη λειτουργία). Το snapshot θα χρησιμοποιήσει την ίδια κρυπτογράφηση με τον δίσκο από τον οποίο προέρχεται.

Απαρίθμηση

gcloud compute snapshots list
gcloud compute snapshots describe <snapshot>
gcloud compute snapshots get-iam-policy <snapshot>

Ανέβασμα Προνομίων

Ελέγξτε την ενότητα ανέβασμα προνομίων των υπολογιστικών περιπτώσεων.

Αναφορές

• https://blog.raphael.karger.is/articles/2022-08/GCP-OS-Patching