GCP - AppEngine Privesc

App Engine

App Engineに関する詳細情報は以下を参照してください:

appengine.applications.get, appengine.instances.get, appengine.instances.list, appengine.operations.get, appengine.operations.list, appengine.services.get, appengine.services.list, appengine.versions.create, appengine.versions.get, appengine.versions.list, cloudbuild.builds.get,iam.serviceAccounts.actAs, resourcemanager.projects.get, storage.objects.create, storage.objects.list

これらは**gcloud cliを使用してAppをデプロイするために必要な権限です。getおよびlistの権限は回避**できるかもしれません。

Pythonコードの例はhttps://github.com/GoogleCloudPlatform/python-docs-samples/tree/main/appengineで見つけることができます。

デフォルトでは、Appサービスの名前は**defaultとなり、同じ名前のインスタンスは1つしか存在できません。 これを変更して2つ目のAppを作成するには、app.yamlでルートキーの値をservice: my-second-app**のように変更します。

cd python-docs-samples/appengine/flexible/hello_world
gcloud app deploy #Upload and start application inside the folder

少なくとも10-15分待ってください。それでも動作しない場合は、deploy another of timesを呼び出し、数分待ってください。

アプリケーションのURLはhttps://<proj-name>.oa.r.appspot.com/またはhttps://<service_name>-dot-<proj-name>.oa.r.appspot.comのような形式です。

同等の権限を更新

AppEngineを更新するための十分な権限を持っているが、新しいものを作成する権限がない場合があります。その場合、現在のApp Engineを更新する方法は次のとおりです:

# Find the code of the App Engine in the buckets
gsutil ls

# Download code
mkdir /tmp/appengine2
cd /tmp/appengine2
## In this case it was found in this custom bucket but you could also use the
## buckets generated when the App Engine is created
gsutil cp gs://appengine-lab-1-gcp-labs-4t04m0i6-3a97003354979ef6/labs_appengine_1_premissions_privesc.zip .
unzip labs_appengine_1_premissions_privesc.zip

## Now modify the code..

## If you don't have an app.yaml, create one like:
cat >> app.yaml <<EOF
runtime: python312

entrypoint: gunicorn -b :\$PORT main:app

env_variables:
A_VARIABLE: "value"
EOF

# Deploy the changes
gcloud app deploy

# Update the SA if you need it (and if you have actas permissions)
gcloud app update --service-account=<sa>@$PROJECT_ID.iam.gserviceaccount.com

もしすでにAppEngineを侵害している場合、appengine.applications.updateとactAsの権限を持っているなら、AppEngineで使用されるサービスアカウントを次のように変更できます:

gcloud app update --service-account=<sa>@$PROJECT_ID.iam.gserviceaccount.com

appengine.instances.enableDebug, appengine.instances.get, appengine.instances.list, appengine.operations.get, appengine.services.get, appengine.services.list, appengine.versions.get, appengine.versions.list, compute.projects.get

これらの権限があれば、flexible タイプの App Engine インスタンスに ssh でログイン することが可能です（standard タイプではありません）。一部の list および get 権限は 実際には必要ない かもしれません。

gcloud app instances ssh --service <app-name> --version <version-id> <ID>

appengine.applications.update, appengine.operations.get

これは、Googleがアプリケーションを設定するために使用するバックグラウンドSAを変更するだけだと思うので、この方法を悪用してサービスアカウントを盗むことはできないと思います。

gcloud app update --service-account=<sa_email>

appengine.versions.getFileContents, appengine.versions.update

これらの権限をどのように使用するか、または有用かどうかは不明です（コードを変更すると新しいバージョンが作成されるため、コードやIAMロールを更新できるかどうかはわかりませんが、バケット内のコードを変更することで可能かもしれません??）。

バケットへの書き込みアクセス

ソースコードが配置されているバケットへの書き込みアクセスがあっても、ソースコードとmanifest.jsonを変更して任意のコードを実行することはできませんでした。 新しいバージョンが作成され、ソースコードとマニフェストがアップロードされる瞬間を監視して検出できれば、新しいバージョンがバックドア付きのものを使用するように変更することが可能かもしれません??

また、コンテナレイヤーがバケットに保存されているようなので、それらを変更することも考えられます。