GCP - Cloud Functions Enum

Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository su github.

Cloud Functions

Google Cloud Functions sono progettate per ospitare il tuo codice, che viene eseguito in risposta a eventi, senza la necessità di gestire un sistema operativo host. Inoltre, queste funzioni supportano la memorizzazione di variabili di ambiente, che il codice può utilizzare.

Storage

Il codice delle Cloud Functions è memorizzato in GCP Storage. Pertanto, chiunque abbia accesso in lettura ai bucket in GCP sarà in grado di leggere il codice delle Cloud Functions. Il codice è memorizzato in un bucket come uno dei seguenti:

gcf-sources-<number>-<region>/<function-name>-<uuid>/version-<n>/function-source.zip
gcf-v2-sources-<number>-<region>/<function-name>function-source.zip

Per esempio: gcf-sources-645468741258-us-central1/function-1-003dcbdf-32e1-430f-a5ff-785a6e238c76/version-4/function-source.zip

Qualsiasi utente con privilegi di lettura sul bucket che memorizza la Cloud Function potrebbe leggere il codice eseguito.

Artifact Registry

Se la cloud function è configurata in modo che il container Docker eseguito sia memorizzato all'interno di un repository Artifact Registry nel progetto, chiunque abbia accesso in lettura al repository sarà in grado di scaricare l'immagine e controllare il codice sorgente. Per ulteriori informazioni, controlla:

GCP - Artifact Registry Enum

SA

Se non specificato, per impostazione predefinita, l'App Engine Default Service Account con permessi di Editor sul progetto sarà associato alla Cloud Function.

Triggers, URL & Authentication

Quando viene creata una Cloud Function, è necessario specificare il trigger. Uno comune è HTTPS, questo creerà un URL dove la funzione può essere attivata tramite navigazione web. Altri trigger sono pub/sub, Storage, Filestore...

Il formato dell'URL è https://<region>-<project-gcp-name>.cloudfunctions.net/<func_name>

Quando viene utilizzato il trigger HTTPS, viene anche indicato se il chiamante deve avere l'autorizzazione IAM per chiamare la funzione o se chiunque può semplicemente chiamarla:

Inside the Cloud Function

Il codice è scaricato all'interno della cartella /workspace con gli stessi nomi di file che hanno i file nella Cloud Function ed è eseguito con l'utente www-data. Il disco non è montato come sola lettura.

Enumeration

# List functions
gcloud functions list
gcloud functions describe <func_name> # Check triggers to see how is this function invoked
gcloud functions get-iam-policy <func_name>

# Get logs of previous runs. By default, limits to 10 lines
gcloud functions logs read <func_name> --limit [NUMBER]

# Call a function
curl https://<region>-<project>.cloudfunctions.net/<func_name>
gcloud functions call <func_name> --data='{"message": "Hello World!"}'

# If you know the name of projects you could try to BF cloud functions names

# Get events that could be used to trigger a cloud function
gcloud functions event-types list

# Access function with authentication
curl -X POST https://<region>-<project>.cloudfunctions.net/<func_name> \
-H "Authorization: bearer $(gcloud auth print-identity-token)" \
-H "Content-Type: application/json" \
-d '{}'