GCP - Generic Permissions Privesc

सामान्य दिलचस्प अनुमतियाँ

*.setIamPolicy

यदि आपके पास किसी संसाधन में setIamPolicy अनुमति वाला एक उपयोगकर्ता है, तो आप उस संसाधन में विशेषाधिकारों को उन्नत कर सकते हैं क्योंकि आप उस संसाधन की IAM नीति को बदल सकेंगे और उस पर अधिक अधिकार प्राप्त कर सकेंगे। यह अनुमति यह भी संभव बना सकती है कि अन्य प्रिंसिपल्स को उन्नत करें अगर संसाधन कोड को निष्पादित करने की अनुमति देता है और iam.ServiceAccounts.actAs आवश्यक नहीं है।

• cloudfunctions.functions.setIamPolicy

• एक क्लाउड फ़ंक्शन की नीति को संशोधित करें ताकि आप इसे आवंटित कर सकें।

इस प्रकार की अनुमतियों वाले दसों संसाधन प्रकार हैं, आप उन सभी को https://cloud.google.com/iam/docs/permissions-reference में setIamPolicy खोजकर खोज सकते हैं।

*.create, *.update

ये अनुमतियाँ संसाधनों में विशेषाधिकारों को उन्नत करने के लिए बहुत उपयोगी हो सकती हैं नए एक बनाने या एक अपडेट करने के द्वारा। ये अनुमतियाँ विशेष रूप से उपयोगी हो सकती हैं अगर आपके पास एक सेवा खाता पर भी अनुमति है iam.serviceAccounts.actAs और संसाधन जिस पर आपके पास .create/.update है, उसमें एक सेवा खाता जोड़ सकता है।

*ServiceAccount*

यह अनुमति आम तौर पर आपको किसी संसाधन में एक सेवा खाता तक पहुंचने या उसे संशोधित करने की अनुमति देगी (जैसे: compute.instances.setServiceAccount)। यह एक विशेषाधिकार विस्तार वेक्टर में ले जा सकती है, लेकिन यह हर मामले पर निर्भर करेगी।