GCP - Compute Instances

AWS Hacking सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks को समर्थन दें

subscription plans देखें!
💬 Discord group या telegram group में शामिल हों या हमें Twitter 🐦 पर फॉलो करें @hacktricks_live.
हैकिंग ट्रिक्स साझा करें HackTricks और HackTricks Cloud github repos में PRs सबमिट करके।

Basic Information

Google Cloud Compute Instances Google के क्लाउड इंफ्रास्ट्रक्चर पर कस्टमाइज़ेबल वर्चुअल मशीनें हैं, जो विभिन्न प्रकार के अनुप्रयोगों के लिए स्केलेबल और ऑन-डिमांड कंप्यूटिंग पावर प्रदान करती हैं। ये वैश्विक तैनाती, स्थायी स्टोरेज, लचीले OS विकल्प और मजबूत नेटवर्किंग और सुरक्षा एकीकरण जैसी सुविधाएँ प्रदान करती हैं, जिससे ये क्लाउड में वेबसाइट होस्टिंग, डेटा प्रोसेसिंग और अनुप्रयोगों को कुशलतापूर्वक चलाने के लिए एक बहुमुखी विकल्प बनती हैं।

Confidential VM

Confidential VMs हार्डवेयर-आधारित सुरक्षा सुविधाओं का उपयोग करती हैं जो नवीनतम पीढ़ी के AMD EPYC प्रोसेसर द्वारा प्रदान की जाती हैं, जिनमें मेमोरी एन्क्रिप्शन और सुरक्षित एन्क्रिप्टेड वर्चुअलाइजेशन शामिल हैं। ये सुविधाएँ VM को होस्ट ऑपरेटिंग सिस्टम और हाइपरवाइजर से भी प्रोसेस और स्टोर किए गए डेटा की सुरक्षा करने में सक्षम बनाती हैं।

Confidential VM चलाने के लिए, आपको मशीन के प्रकार, नेटवर्क इंटरफेस, बूट डिस्क इमेज जैसी चीजों को बदलने की आवश्यकता हो सकती है।

Disk & Disk Encryption

यह डिस्क का चयन करना या नया बनाना संभव है। यदि आप नया चुनते हैं तो आप:

डिस्क का आकार चुन सकते हैं
OS चुन सकते हैं
यह संकेत दे सकते हैं कि आप इंस्टेंस हटाए जाने पर डिस्क को हटाना चाहते हैं या नहीं
एन्क्रिप्शन: डिफ़ॉल्ट रूप से एक Google प्रबंधित कुंजी का उपयोग किया जाएगा, लेकिन आप KMS से कुंजी भी चुन सकते हैं या कच्ची कुंजी का उपयोग कर सकते हैं।

Deploy Container

वर्चुअल मशीन के अंदर एक कंटेनर तैनात करना संभव है। यह इमेज को कॉन्फ़िगर करना, अंदर कमांड सेट करना, आर्गुमेंट्स, एक वॉल्यूम माउंट करना, और env वेरिएबल्स (संवेदनशील जानकारी?) को कॉन्फ़िगर करना और इस कंटेनर के लिए कई विकल्पों को कॉन्फ़िगर करना जैसे प्रिविलेज्ड के रूप में निष्पादित करना, stdin और pseudo TTY को कॉन्फ़िगर करना संभव है।

Service Account

डिफ़ॉल्ट रूप से, Compute Engine डिफ़ॉल्ट सेवा खाता उपयोग किया जाएगा। इस SA का ईमेल इस प्रकार है: <proj-num>-compute@developer.gserviceaccount.com इस सेवा खाते के पास पूरे प्रोजेक्ट पर संपादक भूमिका (उच्च विशेषाधिकार) है।

और डिफ़ॉल्ट एक्सेस स्कोप निम्नलिखित हैं:

https://www.googleapis.com/auth/devstorage.read_only -- बकेट्स के लिए पढ़ने की पहुंच :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append

हालांकि, इसे क्लाउड-प्लेटफ़ॉर्म को एक क्लिक से अनुदान देना या कस्टम निर्दिष्ट करना संभव है।

Firewall

HTTP और HTTPS ट्रैफ़िक की अनुमति देना संभव है।

Networking

IP Forwarding: इंस्टेंस के निर्माण से IP फॉरवर्डिंग सक्षम करना संभव है।
Hostname: इंस्टेंस को स्थायी होस्टनाम देना संभव है।
Interface: नेटवर्क इंटरफेस जोड़ना संभव है

Extra Security

ये विकल्प VM की सुरक्षा बढ़ाएंगे और अनुशंसित हैं:

Secure boot: Secure boot आपके VM इंस्टेंस को बूट-स्तर और कर्नेल-स्तर के मैलवेयर और रूटकिट से बचाने में मदद करता है।
Enable vTPM: Virtual Trusted Platform Module (vTPM) आपके गेस्ट VM के प्री-बूट और बूट इंटीग्रिटी को मान्य करता है, और कुंजी निर्माण और सुरक्षा प्रदान करता है।
Integrity supervision: Integrity monitoring आपको Stackdriver रिपोर्ट का उपयोग करके आपके शील्डेड VM इंस्टेंस की रनटाइम बूट इंटीग्रिटी की निगरानी और सत्यापन करने देती है। इसके लिए vTPM को सक्षम करना आवश्यक है।

VM Access

VM तक पहुंच सक्षम करने का सामान्य तरीका कुछ SSH सार्वजनिक कुंजियों को VM तक पहुंचने की अनुमति देना है। हालांकि, यह भी संभव है कि IAM का उपयोग करके os-config सेवा के माध्यम से VM तक पहुंच सक्षम करें। इसके अलावा, इस सेवा का उपयोग करके VM तक पहुंचने के लिए 2FA सक्षम करना संभव है। जब यह सेवा सक्षम होती है, तो SSH कुंजियों के माध्यम से पहुंच अक्षम हो जाती है।

Metadata

ऑटोमेशन (AWS में userdata) को परिभाषित करना संभव है जो शेल कमांड हैं जो हर बार मशीन चालू होने या पुनरारंभ होने पर निष्पादित होंगे।

यह अतिरिक्त मेटाडेटा कुंजी-मूल्य मान जोड़ना भी संभव है जो मेटाडेटा एंडपॉइंट से सुलभ होंगे। यह जानकारी आमतौर पर पर्यावरण चर और स्टार्टअप/शटडाउन स्क्रिप्ट के लिए उपयोग की जाती है। इसे एनुमरेशन सेक्शन में कमांड से describe विधि का उपयोग करके प्राप्त किया जा सकता है, लेकिन इसे इंस्टेंस के अंदर से मेटाडेटा एंडपॉइंट तक पहुंचकर भी प्राप्त किया जा सकता है।

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Moreover, auth token for the attached service account और general info instance, network और project के बारे में भी metadata endpoint से उपलब्ध होगा। अधिक जानकारी के लिए देखें:

Cloud SSRFHackTricks

Encryption

डिफ़ॉल्ट रूप से एक Google-managed encryption key का उपयोग किया जाता है, लेकिन एक Customer-managed encryption key (CMEK) को कॉन्फ़िगर किया जा सकता है। आप यह भी कॉन्फ़िगर कर सकते हैं कि जब उपयोग किया गया CMEF रद्द हो जाए तो क्या करना है: कुछ नहीं या VM को बंद कर दें।

HackTricks को समर्थन दें

subscription plans देखें!
💬 Discord group या telegram group में शामिल हों या हमें Twitter 🐦 पर फॉलो करें @hacktricks_live.**
हैकिंग ट्रिक्स साझा करें HackTricks और HackTricks Cloud github repos में PRs सबमिट करके।

PreviousGCP - Compute Enum NextGCP - VPC & Networking

Last updated 1 month ago