GCP - Generic Permissions Privesc

Ogólne interesujące uprawnienia

*.setIamPolicy

Jeśli posiadasz użytkownika, który ma uprawnienie setIamPolicy w zasobie, możesz podnieść uprawnienia w tym zasobie, ponieważ będziesz mógł zmienić politykę IAM tego zasobu i nadać sobie większe uprawnienia. To uprawnienie może również umożliwić podniesienie uprawnień do innych podmiotów, jeśli zasób pozwala na wykonanie kodu i nie jest konieczne iam.ServiceAccounts.actAs.

• cloudfunctions.functions.setIamPolicy

• Zmodyfikuj politykę funkcji Cloud Function, aby umożliwić sobie jej wywołanie.

Istnieje dziesiątki typów zasobów z tym rodzajem uprawnienia, możesz je znaleźć wszystkie pod adresem https://cloud.google.com/iam/docs/permissions-reference, szukając setIamPolicy.

*.create, *.update

Te uprawnienia mogą być bardzo przydatne do próby podniesienia uprawnień w zasobach poprzez utworzenie nowego lub zaktualizowanie istniejącego. Te rodzaje uprawnień są szczególnie przydatne, jeśli masz również uprawnienie iam.serviceAccounts.actAs wobec Konta Usługi, a zasób, nad którym masz uprawnienia .create/.update, może być przypisany do konta usługi.

*ServiceAccount*

To uprawnienie zazwyczaj pozwoli ci uzyskać dostęp lub zmodyfikować Konto Usługi w pewnym zasobie (np. compute.instances.setServiceAccount). Może to prowadzić do wektora podwyższenia uprawnień, ale będzie to zależało od każdego przypadku.