GCP - IAM, Principals & Org Policies Enum

Impara e pratica l'Hacking su AWS: HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.

Account del Servizio

Per una introduzione su cosa sia un account del servizio, controlla:

GCP - Basic Information

Enumerazione

Un account del servizio appartiene sempre a un progetto:

gcloud iam service-accounts list --project <project>

Utenti e Gruppi

Per una introduzione su come funzionano Utenti e Gruppi in GCP controlla:

GCP - Basic Information

Enumerazione

Con i permessi serviceusage.services.enable e serviceusage.services.use è possibile abilitare servizi in un progetto e utilizzarli.

Nota che di default, agli utenti di Workspace viene assegnato il ruolo Project Creator, che dà loro accesso a creare nuovi progetti. Quando un utente crea un progetto, gli viene assegnato il ruolo owner su di esso. Quindi, potrebbe abilitare questi servizi sul progetto per poter enumerare Workspace.

Tuttavia, nota che è anche necessario avere abbastanza permessi in Workspace per poter chiamare queste API.

Se puoi abilitare il servizio admin e se il tuo utente ha abbastanza privilegi in workspace, potresti enumerare tutti i gruppi e utenti con le seguenti righe. Anche se dice identity groups, restituisce anche utenti senza gruppi:

# Enable admin
gcloud services enable admin.googleapis.com
gcloud services enable cloudidentity.googleapis.com

# Using admin.googleapis.com
## List all users
gcloud organizations list #The DIRECTORY_CUSTOMER_ID is the Workspace ID
gcloud beta identity groups preview --customer <workspace-id>

# Using cloudidentity.googleapis.com
## List groups of a user (you can list at least the groups you belong to)
gcloud identity groups memberships search-transitive-groups --member-email <email> --labels=cloudidentity.googleapis.com/groups.discussion_forum

## List Group Members (you can list at least the groups you belong to)
gcloud identity groups memberships list --group-email=<email>
### Make it transitive
gcloud identity groups memberships search-transitive-memberships --group-email=<email>

## Get a graph (if you have enough permissions)
gcloud identity groups memberships get-membership-graph --member-email=<email> --labels=cloudidentity.googleapis.com/groups.discussion_forum

Nei precedenti esempi il parametro --labels è richiesto, quindi viene utilizzato un valore generico (non è richiesto se si utilizza direttamente l'API come fa PurplePanda qui.

Anche con il servizio di amministrazione abilitato, è possibile che si verifichi un errore durante l'enumerazione perché l'utente compromesso dello spazio di lavoro non ha abbastanza autorizzazioni:

IAM

Controlla questo per informazioni di base su IAM.

Autorizzazioni predefinite

Dai documenti: Quando viene creato un'organizzazione, tutti gli utenti nel tuo dominio ricevono automaticamente i ruoli Creatore di account di fatturazione e Creatore di progetti per impostazione predefinita. Questi ruoli predefiniti consentono agli utenti di iniziare immediatamente a utilizzare Google Cloud, ma non sono destinati all'uso regolare delle risorse dell'organizzazione.

Questi ruoli concedono le autorizzazioni:

billing.accounts.create e resourcemanager.organizations.get
resourcemanager.organizations.get e resourcemanager.projects.create

Inoltre, quando un utente crea un progetto, viene automaticamente assegnato come proprietario di quel progetto secondo i documenti. Pertanto, per impostazione predefinita, un utente potrà creare un progetto ed eseguire qualsiasi servizio su di esso (minatori? Enumerazione dello spazio di lavoro? ...)

Il ruolo di Amministratore dell'organizzazione è il privilegio più elevato in un'organizzazione GCP.

set-iam-policy vs add-iam-policy-binding

Nella maggior parte dei servizi sarà possibile modificare le autorizzazioni su una risorsa utilizzando il metodo add-iam-policy-binding o set-iam-policy. La differenza principale è che add-iam-policy-binding aggiunge un nuovo binding di ruolo alla policy IAM esistente mentre set-iam-policy eliminerà le autorizzazioni precedentemente concesse e imposterà solo quelle indicate nel comando.

Enumerazione

# Roles
## List roles
gcloud iam roles list --project $PROJECT_ID # List only custom roles
gcloud iam roles list --filter='etag:AA=='

## Get perms and description of role
gcloud iam roles describe roles/container.admin
gcloud iam roles describe --project <proj-name> <role-name>

# Policies
gcloud organizations get-iam-policy <org_id>
gcloud resource-manager folders get-iam-policy <folder-id>
gcloud projects get-iam-policy <project-id>

# MISC
## Testable permissions in resource
gcloud iam list-testable-permissions --filter "NOT apiDisabled: true" <resource>
## Grantable roles to a resource
gcloud iam list-grantable-roles <project URL>

Enumerazione IAM di cloudasset

Ci sono diversi modi per verificare tutti i permessi di un utente su risorse diverse (come organizzazioni, cartelle, progetti...) utilizzando questo servizio.

Il permesso cloudasset.assets.searchAllIamPolicies può richiedere tutte le policy iam all'interno di una risorsa.

gcloud asset search-all-iam-policies #By default uses current configured project
gcloud asset search-all-iam-policies --scope folders/1234567
gcloud asset search-all-iam-policies --scope organizations/123456
gcloud asset search-all-iam-policies --scope projects/project-id-123123

Il permesso cloudasset.assets.analyzeIamPolicy può richiedere tutte le policy iam di un principale all'interno di una risorsa.

# Needs perm "cloudasset.assets.analyzeIamPolicy" over the asset
gcloud asset analyze-iam-policy --organization=<org-id> \
--identity='user:email@hacktricks.xyz'
gcloud asset analyze-iam-policy --folder=<folder-id> \
--identity='user:email@hacktricks.xyz'
gcloud asset analyze-iam-policy --project=<project-name> \
--identity='user:email@hacktricks.xyz'

Il permesso cloudasset.assets.searchAllResources consente di elencare tutte le risorse di un'organizzazione, cartella o progetto. Risorse correlate a IAM (come ruoli) incluse.

gcloud asset search-all-resources --scope projects/<proj-name>
gcloud asset search-all-resources --scope folders/1234567
gcloud asset search-all-resources --scope organizations/123456

L'autorizzazione cloudasset.assets.analyzeMove potrebbe essere utile anche per recuperare le policy che influenzano una risorsa come un progetto

gcloud asset analyze-move --project=<proj-name> \
--destination-organization=609216679593

Suppongo che il permesso cloudasset.assets.queryIamPolicy potrebbe anche dare accesso per trovare i permessi dei principali.

# But, when running something like this
gcloud asset query --project=<proj> --statement='SELECT * FROM compute_googleapis_com_Instance'
# I get the error
ERROR: (gcloud.asset.query) UNAUTHENTICATED: QueryAssets API is only supported for SCC premium customers. See https://cloud.google.com/security-command-center/pricing

Enumerazione delle autorizzazioni di testIamPermissions

Se non è possibile accedere alle informazioni IAM utilizzando i metodi precedenti e ti trovi in un Red Team. Potresti utilizzare lo strumento https://github.com/carlospolop/bf_my_gcp_perms per forzare le tue autorizzazioni attuali.

Tuttavia, nota che il servizio cloudresourcemanager.googleapis.com deve essere abilitato.

Privesc

Nella pagina seguente puoi verificare come abusare delle autorizzazioni IAM per elevare i privilegi:

GCP - IAM Privesc

Enumerazione non autenticata

GCP - IAM, Principals & Org Unauthenticated Enum

Post Esploitation

GCP - IAM Post Exploitation

Persistenza

Se hai privilegi elevati potresti:

Creare nuovi SA (o utenti se sei in Workspace)
Dare più autorizzazioni ai principali controllati da te
Concedere più privilegi a SA vulnerabili (SSRF in vm, Cloud Function vulnerabile...)
...

Politiche dell'Organizzazione

Per una introduzione su cosa sono le Politiche dell'Organizzazione controlla:

GCP - Basic Information

Le politiche IAM indicano le autorizzazioni che i principali hanno sui servizi tramite ruoli, ai quali sono assegnate autorizzazioni granulari. Le politiche dell'organizzazione limitano come quei servizi possono essere utilizzati o quali funzionalità sono disabilitate. Questo aiuta a migliorare il principio del privilegio minimo di ciascuna risorsa nell'ambiente GCP.

gcloud resource-manager org-policies list --organization=ORGANIZATION_ID
gcloud resource-manager org-policies list --folder=FOLDER_ID
gcloud resource-manager org-policies list --project=PROJECT_ID

Escalazione dei privilegi

Nella seguente pagina puoi verificare come abusare dei permessi delle policy dell'organizzazione per escalare i privilegi:

GCP - Orgpolicy Privesc

Impara e pratica l'Hacking su AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Supporta HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.

PreviousGCP - Firestore Enum NextGCP - KMS Enum

Last updated 1 month ago