Polish - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - Federation Abuse

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

OIDC - Nadużycie Github Actions

GCP

Aby umożliwić dostęp do Github Actions z repozytorium Github do konta usługi GCP, należy wykonać następujące kroki:

  • Utwórz konto usługi do dostępu z Github Actions z pożądanymi uprawnieniami:

projectId=FIXME
gcloud config set project $projectId

# Create the Service Account
gcloud iam service-accounts create "github-demo-sa"
saId="github-demo-sa@${projectId}.iam.gserviceaccount.com"

# Enable the IAM Credentials API
gcloud services enable iamcredentials.googleapis.com

# Give permissions to SA

gcloud projects add-iam-policy-binding $projectId \
--member="serviceAccount:$saId" \
--role="roles/iam.securityReviewer"

  • Wygeneruj nowy pulpit roboczy tożsamości:

# Create a Workload Identity Pool
poolName=wi-pool

gcloud iam workload-identity-pools create $poolName \
--location global \
--display-name $poolName

poolId=$(gcloud iam workload-identity-pools describe $poolName \
--location global \
--format='get(name)')

  • Wygeneruj nowego dostawcę OIDC dla puli tożsamości obciążenia roboczego, który ufa akcjom GitHub (według nazwy organizacji/repozytorium w tym scenariuszu):

attributeMappingScope=repository # could be sub (GitHub repository and branch) or repository_owner (GitHub organization)

gcloud iam workload-identity-pools providers create-oidc $poolName \
--location global \
--workload-identity-pool $poolName \
--display-name $poolName \
--attribute-mapping "google.subject=assertion.${attributeMappingScope},attribute.actor=assertion.actor,attribute.aud=assertion.aud,attribute.repository=assertion.repository" \
--issuer-uri "https://token.actions.githubusercontent.com"

providerId=$(gcloud iam workload-identity-pools providers describe $poolName \
--location global \
--workload-identity-pool $poolName \
--format='get(name)')

  • W końcu, umożliwiaj podmiotowi z dostawcy korzystanie z podmiotu usługi:

gitHubRepoName="repo-org/repo-name"
gcloud iam service-accounts add-iam-policy-binding $saId \
--role "roles/iam.workloadIdentityUser" \
--member "principalSet://iam.googleapis.com/${poolId}/attribute.${attributeMappingScope}/${gitHubRepoName}"

Zauważ, że w poprzednim przykładzie określamy org-name/repo-name jako warunki umożliwiające dostęp do konta usługi (inne parametry, takie jak gałąź, mogą również być używane, aby to bardziej ograniczyć).

Jednak możliwe jest również zezwolenie na dostęp wszystkim użytkownikom GitHub do konta usługi, tworząc dostawcę z użyciem symbolu wieloznacznego, jak w poniższym przykładzie:

# Utwórz pulę tożsamości obciążeniowej
poolName=wi-pool2

gcloud iam workload-identity-pools create $poolName \
--location global \
--display-name $poolName

poolId=$(gcloud iam workload-identity-pools describe $poolName \
--location global \
--format='get(name)')

gcloud iam workload-identity-pools providers create-oidc $poolName \
--project="${projectId}" \
--location="global" \
--workload-identity-pool="$poolName" \
--display-name="Demo provider" \
--attribute-mapping="google.subject=assertion.sub,attribute.actor=assertion.actor,attribute.aud=assertion.aud" \
--issuer-uri="https://token.actions.githubusercontent.com"

providerId=$(gcloud iam workload-identity-pools providers describe $poolName \
--location global \
--workload-identity-pool $poolName \
--format='get(name)')

# SPRAWDŹ SYMBOL WIELOZNACZNY
gcloud iam service-accounts add-iam-policy-binding "${saId}" \
--project="${projectId}" \
--role="roles/iam.workloadIdentityUser" \
  --member="principalSet://iam.googleapis.com/${poolId}/*"

W tym przypadku każdy mógłby uzyskać dostęp do konta usługi z akcji GitHub, dlatego ważne jest zawsze sprawdzenie, jak jest zdefiniowany członek. Powinno to zawsze wyglądać tak:

attribute.{custom_attribute}:principalSet://iam.googleapis.com/projects/{project}/locations/{location}/workloadIdentityPools/{pool}/attribute.{custom_attribute}/{value}

Github

Pamiętaj, aby zmienić ${providerId} i ${saId} na odpowiednie wartości:

name: Check GCP action
on:
workflow_dispatch:
pull_request:
branches:
- main

permissions:
id-token: write

jobs:
Get_OIDC_ID_token:
runs-on: ubuntu-latest
steps:
- id: 'auth'
name: 'Authenticate to GCP'
uses: 'google-github-actions/auth@v0.3.1'
with:
create_credentials_file: 'true'
workload_identity_provider: '${providerId}'
service_account: '${saId}'
- id: 'gcloud'
name: 'gcloud'
run: |-
gcloud auth login --brief --cred-file="${{ steps.auth.outputs.credentials_file_path }}"
gcloud auth list
gcloud projects list
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

PreviousGCP - Basic InformationNextGCP - Permissions for a Pentest

Last updated