GCP - Cloud Functions Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Cloud Functions

Google Cloud Functions są zaprojektowane do hostowania Twojego kodu, który jest wykonywany w odpowiedzi na zdarzenia, bez konieczności zarządzania systemem operacyjnym hosta. Dodatkowo, te funkcje wspierają przechowywanie zmiennych środowiskowych, które kod może wykorzystać.

Storage

Kod Cloud Functions jest przechowywany w GCP Storage. Dlatego każdy z dostępem do odczytu nad bucketami w GCP będzie mógł odczytać kod Cloud Functions. Kod jest przechowywany w bucketach takich jak poniższe:

gcf-sources-<number>-<region>/<function-name>-<uuid>/version-<n>/function-source.zip
gcf-v2-sources-<number>-<region>/<function-name>function-source.zip

Na przykład: gcf-sources-645468741258-us-central1/function-1-003dcbdf-32e1-430f-a5ff-785a6e238c76/version-4/function-source.zip

Każdy użytkownik z uprawnieniami do odczytu nad bucketem przechowującym Cloud Function może odczytać wykonywany kod.

Artifact Registry

Jeśli funkcja chmurowa jest skonfigurowana tak, że wykonywany kontener Docker jest przechowywany w repozytorium Artifact Registry w projekcie, każdy z dostępem do odczytu nad repozytorium będzie mógł pobrać obraz i sprawdzić kod źródłowy. Więcej informacji znajdziesz tutaj:

GCP - Artifact Registry Enum

SA

Jeśli nie określono inaczej, domyślnie do Cloud Function zostanie przypisane App Engine Default Service Account z uprawnieniami Edytora nad projektem.

Triggers, URL & Authentication

Podczas tworzenia Cloud Function należy określić trigger. Jednym z powszechnych jest HTTPS, co utworzy URL, gdzie funkcja może być wywoływana przez przeglądanie sieci. Inne triggery to pub/sub, Storage, Filestore...

Format URL to https://<region>-<project-gcp-name>.cloudfunctions.net/<func_name>

Gdy używany jest trigger HTTPS, jest również określone, czy dzwoniący musi mieć autoryzację IAM, aby wywołać funkcję, czy każdy może ją wywołać:

Inside the Cloud Function

Kod jest pobierany wewnątrz folderu /workspace z tymi samymi nazwami plików, jakie mają pliki w Cloud Function i jest wykonywany przez użytkownika www-data. Dysk nie jest zamontowany jako tylko do odczytu.

Enumeration

# List functions
gcloud functions list
gcloud functions describe <func_name> # Check triggers to see how is this function invoked
gcloud functions get-iam-policy <func_name>

# Get logs of previous runs. By default, limits to 10 lines
gcloud functions logs read <func_name> --limit [NUMBER]

# Call a function
curl https://<region>-<project>.cloudfunctions.net/<func_name>
gcloud functions call <func_name> --data='{"message": "Hello World!"}'

# If you know the name of projects you could try to BF cloud functions names

# Get events that could be used to trigger a cloud function
gcloud functions event-types list

# Access function with authentication
curl -X POST https://<region>-<project>.cloudfunctions.net/<func_name> \
-H "Authorization: bearer $(gcloud auth print-identity-token)" \
-H "Content-Type: application/json" \
-d '{}'