GCP Pentesting

Informazioni di Base

Prima di iniziare il pentesting di un ambiente GCP, ci sono alcune cose di base che devi sapere su come funziona per aiutarti a capire cosa devi fare, come trovare configurazioni errate e come sfruttarle.

Concetti come la gerarchia dell'organizzazione, i permessi e altri concetti di base sono spiegati in:

Laboratori per imparare

• https://gcpgoat.joshuajebaraj.com/

• https://github.com/ine-labs/GCPGoat

• https://github.com/lacioffi/GCP-pentest-lab/

• https://github.com/carlospolop/gcp_privesc_scripts

Metodologia GCP Pentester/Red Team

Per eseguire un audit di un ambiente GCP è molto importante sapere: quali servizi vengono utilizzati, cosa è esposto, chi ha accesso a cosa e come sono collegati i servizi interni di GCP e i servizi esterni.

Dal punto di vista del Red Team, il primo passo per compromettere un ambiente GCP è riuscire a ottenere alcune credenziali. Ecco alcune idee su come farlo:

• Leaks su github (o simili) - OSINT

• Ingegneria Sociale (Controlla la pagina Workspace Security)

• Riutilizzo delle password (password leaks)

• Vulnerabilità nelle applicazioni ospitate su GCP

• Server Side Request Forgery con accesso all'endpoint dei metadati

• Lettura di File Locali

• /home/USERNAME/.config/gcloud/*

• C:\Users\USERNAME\.config\gcloud\*

• 3rd parties compromessi

• Dipendente Interno

Oppure compromettendo un servizio non autenticato esposto:

Oppure se stai facendo una revisione potresti semplicemente chiedere le credenziali con questi ruoli:

Enumerazione di Base

SSRF

Per maggiori informazioni su come enumerare i metadati GCP controlla la seguente pagina di hacktricks:

Whoami

In GCP puoi provare diverse opzioni per cercare di indovinare chi sei:

#If you are inside a compromise machine
gcloud auth list
curl -H "Content-Type: application/x-www-form-urlencoded" -d "access_token=$(gcloud auth print-access-token)" https://www.googleapis.com/oauth2/v1/tokeninfo
gcloud auth print-identity-token #Get info from the token

#If you compromised a metadata token or somehow found an OAuth token
curl -H "Content-Type: application/x-www-form-urlencoded" -d "access_token=<token>" https://www.googleapis.com/oauth2/v1/tokeninfo

Enumerazione dell'Organizzazione

# Get organizations
gcloud organizations list #The DIRECTORY_CUSTOMER_ID is the Workspace ID
gcloud resource-manager folders list --organization <org_number> # Get folders
gcloud projects list # Get projects

Principals & IAM Enumeration

Se hai abbastanza permessi, controllare i privilegi di ogni entità all'interno dell'account GCP ti aiuterà a capire cosa puoi fare tu e altre identità e come escalare i privilegi.

Se non hai abbastanza permessi per enumerare IAM, puoi rubare o forzare brutalmente per scoprirli. Controlla come fare la numerazione e il brute-forcing in:

Services Enumeration

GCP ha una quantità sorprendente di servizi, nella pagina seguente troverai informazioni di base, cheatsheet di enumerazione, come evitare il rilevamento, ottenere persistenza, e altri trucchi di post-exploitation su alcuni di essi:

Nota che non è necessario eseguire tutto il lavoro manualmente, più avanti in questo post puoi trovare una sezione sui strumenti automatici.

Inoltre, in questa fase potresti aver scoperto più servizi esposti agli utenti non autenticati, potresti essere in grado di sfruttarli:

Privilege Escalation, Post Exploitation & Persistence

Il modo più comune una volta ottenute alcune credenziali cloud o compromesso un servizio in esecuzione all'interno di un cloud è abusare dei privilegi mal configurati che l'account compromesso potrebbe avere. Quindi, la prima cosa da fare è enumerare i tuoi privilegi.

Inoltre, durante questa enumerazione, ricorda che i permessi possono essere impostati al livello più alto di "Organizzazione".

Publicly Exposed Services

Durante l'enumerazione dei servizi GCP potresti aver trovato alcuni di essi che espongono elementi a Internet (porte VM/Containers, database o servizi di coda, snapshot o bucket...). Come pentester/red teamer dovresti sempre controllare se puoi trovare informazioni sensibili / vulnerabilità su di essi poiché potrebbero fornirti ulteriore accesso all'account AWS.

In questo libro dovresti trovare informazioni su come trovare servizi GCP esposti e come controllarli. Per trovare vulnerabilità nei servizi di rete esposti ti consiglio di cercare il servizio specifico in:

GCP <--> Workspace Pivoting

Compromettere entità in una piattaforma potrebbe permettere a un attaccante di compromettere l'altra, controllalo in:

Automatic Tools

• Nella console GCloud, in https://console.cloud.google.com/iam-admin/asset-inventory/dashboard puoi vedere le risorse e gli IAM utilizzati dal progetto.

• Qui puoi vedere le risorse supportate da questa API: https://cloud.google.com/asset-inventory/docs/supported-asset-types

• Controlla strumenti che possono essere utilizzati in diversi cloud qui.

• gcp_scanner: Questo è uno scanner di risorse GCP che può aiutare a determinare quale livello di accesso possiedono determinate credenziali su GCP.

# Install
git clone https://github.com/google/gcp_scanner.git
cd gcp_scanner
virtualenv -p python3 venv
source venv/bin/activate
pip install -r requirements.txt
# Execute with gcloud creds
python3 __main__.py -o /tmp/output/ -g "$HOME/.config/gcloud"

• gcp_enum: Script Bash per enumerare un ambiente GCP utilizzando gcloud cli e salvare i risultati in un file.

• GCP-IAM-Privilege-Escalation: Script per enumerare alti privilegi IAM e per scalare privilegi in GCP abusandone (non sono riuscito a far funzionare lo script di enumerazione).

• BF My GCP Permissions: Script per forzare i tuoi permessi.

gcloud config & debug

# Login so gcloud can use your credentials
gcloud auth login
gcloud config set project security-devbox
gcloud auth print-access-token

# Login so SDKs can use your user credentials
gcloud auth application-default login
gcloud auth application-default set-quota-project security-devbox
gcloud auth application-default print-access-token

# Update gcloud
gcloud components update

Catturare la rete di gcloud, gsutil...

Ricorda che puoi usare il parametro --log-http con il gcloud cli per stampare le richieste che lo strumento sta eseguendo. Se non vuoi che i log redigano il valore del token, usa gcloud config set log_http_redact_token false

Inoltre, per intercettare la comunicazione:

gcloud config set proxy/address 127.0.0.1
gcloud config set proxy/port 8080
gcloud config set proxy/type http
gcloud config set auth/disable_ssl_validation True

# If you don't want to completely disable ssl_validation use:
gcloud config set core/custom_ca_certs_file cert.pem

# Back to normal
gcloud config unset proxy/address
gcloud config unset proxy/port
gcloud config unset proxy/type
gcloud config unset auth/disable_ssl_validation
gcloud config unset core/custom_ca_certs_file

Configurare il token OAuth in gcloud

Per utilizzare un token OAuth dell'account di servizio esfiltrato dal metadata endpoint puoi semplicemente fare:

# Via env vars
export CLOUDSDK_AUTH_ACCESS_TOKEN=<token>
gcloud projects list

# Via setup
echo "<token>" > /some/path/to/token
gcloud config set auth/access_token_file /some/path/to/token
gcloud projects list
gcloud config unset auth/access_token_file

Riferimenti

• https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/