GCP - Non-svc Persistance
Hizi ni mbinu muhimu mara moja, kwa namna fulani, umefanikiwa kudukua baadhi ya vibali vya GCP au mashine inayotumika katika mazingira ya GCP.
Udukuzi wa Kitufe
Vitufe vya Mtumiaji Aliyethibitishwa
Ili kupata kitufe cha sasa cha mtumiaji unaweza kukimbia:
Angalia ukurasa huu jinsi ya kutumia moja kwa moja token huu kwa kutumia gcloud:
Ili kupata maelezo ya kuunda token mpya la ufikiaji endesha:
Uhalali wa vibambo vya kuboresha unaweza kusimamiwa katika Admin > Usalama > Kudhibiti kikao cha Google Cloud, na kwa chaguo-msingi imewekwa kuwa saa 16 ingawa inaweza kuwekwa isiweze kumalizika:
Mtiririko wa Uthibitisho
Mtiririko wa uthibitisho unapotumia kitu kama gcloud auth login
utafungua dirisha la ombi katika kivinjari na baada ya kukubali mizani zote kivinjari kitatuma ombi kama hili kwa bandari ya http iliyofunguliwa na zana:
Kisha, gcloud itatumia hali na nambari pamoja na client_id
iliyoandikwa kwa nguvu (32555940559.apps.googleusercontent.com
) na client_secret
(ZmssLNjJy2998hD4CTg2ejr2
) kupata data ya mwisho ya token ya kuboresha.
Tafadhali elewa kuwa mawasiliano na localhost ni kwa HTTP, hivyo ni rahisi kuingilia data ili kupata token ya kuboresha, hata hivyo data hii ni halali mara moja tu, hivyo itakuwa bure, ni rahisi kusoma token ya kuboresha kutoka kwenye faili.
Vipimo vya OAuth
Unaweza kupata vipimo vyote vya Google kwenye https://developers.google.com/identity/protocols/oauth2/scopes au kuzipata kwa kutekeleza:
Inawezekana kuona ni vipi programu ambayo gcloud
hutumia kuthibitisha inaweza kusaidia na skiripu hii:
Baada ya kuitekeleza, ilithibitishwa kuwa programu hii inasaidia scopes hizi:
Ni ya kuvutia kuona jinsi programu hii inavyounga mkono drive
scope, ambayo inaweza kuruhusu mtumiaji kupanda kutoka GCP kwenda Workspace ikiwa mshambuliaji anafanikiwa kumshawishi mtumiaji kuzalisha tokeni na scope hii.
Angalia jinsi ya kutumia vibaya hapa.
Akaunti za Huduma
Kama ilivyo kwa watumiaji waliothibitishwa, ikiwa utafanikiwa kuharibu faili ya ufunguo binafsi wa akaunti ya huduma utaweza kuipata kawaida kwa muda mrefu unavyotaka. Hata hivyo, ikiwa unajiokota tokeni ya OAuth ya akaunti ya huduma hii inaweza kuwa ya kuvutia zaidi, kwa sababu, hata kama kwa chaguo-msingi tokeni hizi ni za manufaa kwa saa moja tu, ikiwa mwendeshaji anafuta ufunguo binafsi wa api, tokeni ya OAuth itaendelea kuwa halali hadi itakapomalizika.
Metadata
Kwa wazi, muda mrefu ukiwa ndani ya mashine inayofanya kazi katika mazingira ya GCP utaweza kupata akaunti ya huduma iliyowekwa kwenye mashine hiyo kwa kuwasiliana na mwisho wa metadata (tambua kuwa tokeni za OAuth unazoweza kupata kwenye mwisho huu kawaida zimezuiliwa na scopes).
Upatanishi
Baadhi ya upatanishi kwa njia hizi zinaelezewa katika https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2
Marejeo
Last updated