Japanese - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - BigQuery Privesc

htARTE(HackTricks AWS Red Team Expert)を使用して、ゼロからヒーローまでAWSハッキングを学びましょう!

HackTricks をサポートする他の方法:

BigQuery

BigQueryに関する詳細情報は次を参照してください:

pageGCP - Bigquery Enum

テーブルの読み取り

BigQuery テーブル内に格納されている情報を読み取ると、機密情報 を見つける可能性があります。情報にアクセスするために必要な権限は bigquery.tables.getbigquery.jobs.create、および bigquery.tables.getData です:

bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

データのエクスポート

これはデータにアクセスする別の方法です。クラウドストレージバケットにエクスポートして、情報を含むファイルをダウンロードします。 この操作を実行するには、次の権限が必要です: bigquery.tables.exportbigquery.jobs.create、および**storage.objects.create**。

bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

データの挿入

Bigquery テーブルに特定の信頼できるデータを挿入して、他の場所の脆弱性を悪用することが可能かもしれません。これは、bigquery.tables.getbigquery.tables.updateData、および**bigquery.jobs.create** の権限を使用して簡単に行うことができます。

# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

bigquery.datasets.setIamPolicy

攻撃者はこの権限を悪用して、BigQueryデータセットに対してさらなる権限を与えることができます。

# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

この権限だけで、BigQueryデータセットへのアクセスを更新し、誰がアクセスできるかを示すACLを変更することができます。

# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>

bigquery.tables.setIamPolicy

攻撃者は、これを悪用してBigQueryテーブルに対してさらなる権限を与えることができます。

# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

ドキュメントによると、上記の権限を持つことで行ポリシーを更新することが可能です。 しかし、CLI bqを使用する場合は、さらに**bigquery.rowAccessPolicies.createbigquery.tables.get**が必要です。

bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("user:user@email.xyz") FILTER USING (term = "Cfba");' # A example filter was used

row policiesの列挙の出力から、フィルターIDを見つけることができます。例:

bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09
htARTE(HackTricks AWS Red Team Expert)でAWSハッキングをゼロからヒーローまで学ぶ htARTE(HackTricks AWS Red Team Expert)

HackTricksをサポートする他の方法:

前へGCP - Artifact Registry Privesc次へGCP - ClientAuthConfig Privesc

最終更新