GCP - IAM, Principals & Org Policies Enum
सेवा खाते
सेवा खाते क्या है इसके बारे में जानने के लिए निम्नलिखित लिंक देखें:
GCP - Basic Informationगणना
एक सेवा खाते हमेशा किसी परियोजना से संबंधित होता है:
उपयोगकर्ता और समूह
GCP में उपयोगकर्ताओं और समूहों का काम कैसे करता है, इसके बारे में जानकारी के लिए निम्नलिखित देखें:
GCP - Basic Informationगणना
अनुमतियों serviceusage.services.enable
और serviceusage.services.use
के साथ परियोजना में सेवाएं सक्षम करना और उन्हें उपयोग करना संभव है।
ध्यान दें कि डिफ़ॉल्ट रूप से, Workspace उपयोगकर्ताओं को परियोजना निर्माता भूमिका प्रदान की जाती है, जिससे उन्हें नई परियोजनाएं बनाने का अधिकार मिलता है। जब एक उपयोगकर्ता एक परियोजना बनाता है, तो उसे उसके ऊपर owner
भूमिका प्रदान की जाती है। इसलिए, वह इन सेवाओं को परियोजना पर सक्षम कर सकता है ताकि Workspace को गणना कर सके।
हालांकि, ध्यान दें कि Workspace में पर्याप्त अनुमतियाँ होना भी आवश्यक है ताकि इन API को कॉल कर सकें।
यदि आप admin
सेवा को सक्षम कर सकते हैं और यदि आपके पास Workspace में पर्याप्त विशेषाधिकार हैं, तो निम्नलिखित लाइनों के साथ आप सभी समूह और उपयोगकर्ताओं की गणना कर सकते हैं।
यद्यपि यह पहचान समूह
कहता है, तो यह उन समूहों को भी लौटाता है जिनके पास कोई समूह नहीं है:
पिछले उदाहरणों में पैरामीटर --labels
आवश्यक है, इसलिए एक सामान्य मान का उपयोग किया जाता है (यह आवश्यक नहीं है अगर आप API का सीधा उपयोग करते हैं जैसे कि PurplePanda यहाँ करता है।
व्यवस्थापक सेवा सक्षम होने के बावजूद, संभावना है कि आपको त्रुटि मिले जब आप उन्हें गणना कर रहे हों क्योंकि आपके कंप्रोमाइज़्ड वर्कस्पेस उपयोगकर्ता के पास पर्याप्त अनुमतियाँ नहीं हैं:
IAM
IAM के बारे में मौलिक जानकारी के लिए यह देखें।
डिफ़ॉल्ट अनुमतियाँ
दस्तावेज़ से: जब एक संगठन संसाधन बनाया जाता है, तो डिफ़ॉल्ट रूप से आपके डोमेन में सभी उपयोगकर्ताओं को बिलिंग अकाउंट निर्माता और प्रोजेक्ट निर्माता भूमिकाएँ प्रदान की जाती हैं। ये डिफ़ॉल्ट भूमिकाएँ आपके उपयोगकर्ताओं को तुरंत Google Cloud का उपयोग करना शुरू करने की अनुमति देती हैं, लेकिन आपके संगठन संसाधन के नियमित परिचालन में उपयोग के लिए नहीं हैं।
ये भूमिकाएँ निम्नलिखित अनुमतियाँ प्रदान करती हैं:
billing.accounts.create
औरresourcemanager.organizations.get
resourcemanager.organizations.get
औरresourcemanager.projects.create
इसके अतिरिक्त, जब एक उपयोगकर्ता एक परियोजना बनाता है, तो वह उस परियोजना के मालिक को स्वचालित रूप से प्रदान किया जाता है अनुसार दस्तावेज़। इसलिए, डिफ़ॉल्ट रूप से, एक उपयोगकर्ता एक परियोजना बना सकेगा और उस पर किसी भी सेवा को चला सकेगा (माइनर्स? वर्कस्पेस गणना? ...)
GCP संगठन में सबसे अधिक विशेषाधिकार संगठन प्रशासक भूमिका है।
set-iam-policy vs add-iam-policy-binding
अधिकांश सेवाओं में आप एक संसाधन पर अनुमतियों को बदलने के लिए विधि add-iam-policy-binding
या set-iam-policy
का उपयोग कर सकते हैं। मुख्य अंतर यह है कि add-iam-policy-binding
एक नई भूमिका बाइंडिंग को मौजूदा IAM नीति में जोड़ता है जबकि set-iam-policy
पहले प्रदान की गई अनुमतियों को हटा देगा और केवल उसे निर्दिष्ट की गई अनुमतियों को सेट करेगा।
गणना
cloudasset IAM जाँच
इस सेवा का उपयोग करके विभिन्न संसाधनों (जैसे संगठन, फोल्डर, परियोजनाएँ...) में एक उपयोगकर्ता की सभी अनुमतियों की जाँच करने के लिए विभिन्न तरीके हैं।
अनुमति
cloudasset.assets.searchAllIamPolicies
एक संसाधन के अंदर सभी iam नीतियों का अनुरोध कर सकती है।
अनुमति
cloudasset.assets.analyzeIamPolicy
एक संसाधक के भीतर एक संसाधन के सभी आईएएम नीतियों का अनुरोध कर सकती है।
अनुमति
cloudasset.assets.searchAllResources
संगठन, फ़ोल्डर, या परियोजना के सभी संसाधनों की सूची बनाने की अनुमति देती है। इसमें IAM संबंधित संसाधन (जैसे भूमिकाएँ) शामिल हैं।
अनुमति
cloudasset.assets.analyzeMove
एक परियोजना जैसे संसाधन पर प्रभाव डालने वाली नीतियों को पुनः प्राप्त करने में उपयोगी हो सकती है।
मुझे लगता है कि अनुमति
cloudasset.assets.queryIamPolicy
भी मुख्य सिद्धांतों की अनुमतियों को खोजने का अधिकार दे सकती है
परीक्षणIamPermissions जाँच
यदि आप पिछले तरीके से IAM जानकारी तक पहुँच नहीं पा रहे हैं और आप रेड टीम में हैं। तो आप अपनी वर्तमान अनुमतियों को ब्रूट-फ़ोर्स करने के लिए उपकरण का उपयोग कर सकते हैं https://github.com/carlospolop/bf_my_gcp_perms।
हालांकि, ध्यान दें कि सेवा cloudresourcemanager.googleapis.com
को सक्षम किया जाना चाहिए।
Privesc
निम्नलिखित पृष्ठ पर आप देख सकते हैं कि IAM अनुमतियों का दुरुपयोग करके विशेषाधिकारों को बढ़ाने के लिए कैसे जांच करें:
GCP - IAM Privescअप्रमाणित जाँच
GCP - IAM, Principals & Org Unauthenticated Enumपोस्ट एक्सप्लोइटेशन
GCP - IAM Post Exploitationस्थिरता
यदि आपके पास उच्च विशेषाधिकार हैं तो आप:
नए एसए (या उपयोगकर्ता यदि Workspace में हैं) बना सकते हैं
अपने द्वारा नियंत्रित प्रिंसिपल्स को अधिक अनुमतियाँ दे सकते हैं
विकल्प एसए (vm में SSRF, vuln Cloud Function में…) को अधिक विशेषाधिकार दे सकते हैं
...
संगठन नीतियाँ
जानने के लिए कि संगठन नीतियाँ क्या हैं, यहाँ देखें:
GCP - Basic InformationIAM नीतियाँ भूमिकाओं को अनुमतियों की संसाधनों पर जिसे भूमिकाएँ हैं, इंद्रीय द्वारा रखी गई विस्तारण अनुमतियों के माध्यम से दिखाती हैं। संगठन नीतियाँ बाधित करती हैं कि वह सेवाएँ कैसे उपयोग की जा सकती हैं या कौन सी विशेषताएँ निष्क्रिय की जाती हैं। यह GCP वातावरण में प्रत्येक संसाधन की कम से कम अधिकार को सुधारने में मदद करता है।
विशेषाधिकार
निम्नलिखित पृष्ठ पर आप देख सकते हैं कि विशेषाधिकार बढ़ाने के लिए ओर्ग नीतियों की अनुमतियों का दुरुपयोग कैसे करें:
GCP - Orgpolicy PrivescLast updated