GCP - Orgpolicy Privesc

एडब्ल्यूएस हैकिंग सीखें और प्रैक्टिस करें: HackTricks प्रशिक्षण एडब्ल्यूएस रेड टीम एक्सपर्ट (ARTE) जीसीपी हैकिंग सीखें और प्रैक्टिस करें: HackTricks प्रशिक्षण जीसीपी रेड टीम एक्सपर्ट (GRTE)

हैकट्रिक्स का समर्थन करें

सब्सक्रिप्शन प्लान की जाँच करें!
शामिल हों 💬 डिस्कॉर्ड ग्रुप या टेलीग्राम ग्रुप या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें, हैकट्रिक्स](https://github.com/carlospolop/hacktricks) और हैकट्रिक्स क्लाउड github रेपो में पीआर जमा करके।

orgpolicy

`orgpolicy.policy.set`

एक हमलावता orgpolicy.policy.set का उपयोग करके संगठनात्मक नीतियों को मानिबंधन कर सकता है, जिससे उसे कुछ निर्दिष्ट परिस्थितियों को अवरुद्ध करने वाली नियमों को हटा देने की अनुमति मिलेगी। उदाहरण के लिए, विवशता appengine.disableCodeDownload आम तौर पर एप इंजन स्रोत कोड को डाउनलोड करने की अवरुद्धता लगाती है। हालांकि, orgpolicy.policy.set का उपयोग करके, एक हमलावता इस विवशता को निष्क्रिय कर सकता है, जिससे उसे पहले से सुरक्षित रूप से संरक्षित होने के बावजूद स्रोत कोड डाउनलोड करने की पहुंच मिल जाए।

# Get info
gcloud resource-manager org-policies describe <org-policy> [--folder <id> | --organization <id> | --project <id>]

# Disable
gcloud resource-manager org-policies disable-enforce <org-policy> [--folder <id> | --organization <id> | --project <id>]

इस विधि के लिए एक पायथन स्क्रिप्ट यहाँ पाया जा सकता है यहाँ।

संदर्भ

https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/

AWS हैकिंग सीखें और अभ्यास करें:HackTricks प्रशिक्षण AWS रेड टीम विशेषज्ञ (ARTE) GCP हैकिंग सीखें और अभ्यास करें: HackTricks प्रशिक्षण GCP रेड टीम विशेषज्ञ (GRTE)

हैकट्रिक्स का समर्थन करें

सदस्यता योजनाएँ की जाँच करें!
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह और ट्विटर 🐦 @hacktricks_live** को** फॉलो करें।
हैकिंग ट्रिक्स साझा करें PRs सबमिट करके HackTricks और HackTricks Cloud github रेपो में।

PreviousGCP - KMS Privesc NextGCP - Pubsub Privesc

Last updated 1 month ago