GCP - Compute Instances

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mipango ya usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwenye HackTricks na HackTricks Cloud github repos.

Taarifa za Msingi

Google Cloud Compute Instances ni mashine za kawaida za virtual kwenye miundombinu ya wingu ya Google, zinazotoa nguvu ya kompyuta inayoweza kupimika na inayohitajika kwa matumizi mbalimbali. Zinatoa vipengele kama vile uwekaji wa kimataifa, uhifadhi wa kudumu, chaguo za mfumo wa uendeshaji zinazobadilika, na ushirikiano wa nguvu wa mtandao na usalama, na kuzifanya kuwa chaguo linalobadilika kwa kuendesha tovuti, kuchakata data, na kuendesha programu kwa ufanisi kwenye wingu.

VM ya Siri

VM za Siri zinatumia vipengele vya usalama vya vifaa vinavyotolewa na kizazi kipya cha wasindikaji wa AMD EPYC, ambavyo vinajumuisha usimbaji wa kumbukumbu na usimbaji wa virtual ulio salama. Vipengele hivi vinawezesha VM kulinda data inayochakatwa na kuhifadhiwa ndani yake hata kutoka kwa mfumo wa uendeshaji wa mwenyeji na hypervisor.

Kuendesha VM ya Siri inaweza kuhitaji kubadilisha vitu kama aina ya mashine, interface ya mtandao, picha ya diski ya buti.

Diski na Usimbaji wa Diski

Inawezekana kuchagua diski ya kutumia au kuunda mpya. Ukichagua mpya unaweza:

Chagua ukubwa wa diski
Chagua OS
Onyesha kama unataka kufuta diski wakati instance inafutwa
Usimbaji: Kwa chaguo-msingi ufunguo unaosimamiwa na Google utatumika, lakini unaweza pia kuchagua ufunguo kutoka KMS au kuonyesha ufunguo mbichi wa kutumia.

Kuweka Kontena

Inawezekana kuweka kontena ndani ya mashine ya virtual. Inawezekana kusanidi picha ya kutumia, kuweka amri ya kuendesha ndani, hoja, kupachika kiasi, na env variables (taarifa nyeti?) na kusanidi chaguo kadhaa kwa kontena hili kama kuendesha kama privileged, stdin na pseudo TTY.

Akaunti ya Huduma

Kwa chaguo-msingi, Compute Engine default service account itatumika. Barua pepe ya SA hii ni kama: <proj-num>-compute@developer.gserviceaccount.com Akaunti hii ya huduma ina Editor role juu ya mradi mzima (privileges za juu).

Na default access scopes ni zifuatazo:

https://www.googleapis.com/auth/devstorage.read_only -- Haki ya kusoma kwenye ndoo :)
https://www.googleapis.com/auth/logging.write
https://www.googleapis.com/auth/monitoring.write
https://www.googleapis.com/auth/servicecontrol
https://www.googleapis.com/auth/service.management.readonly
https://www.googleapis.com/auth/trace.append

Hata hivyo, inawezekana kuipatia cloud-platform kwa kubofya au kubainisha zile maalum.

Firewall

Inawezekana kuruhusu trafiki ya HTTP na HTTPS.

Mtandao

IP Forwarding: Inawezekana kuwezesha IP forwarding kutoka kwa uundaji wa instance.
Hostname: Inawezekana kutoa instance jina la kudumu la mwenyeji.
Interface: Inawezekana kuongeza interface ya mtandao

Usalama wa Ziada

Chaguo hizi zitaongeza usalama wa VM na zinapendekezwa:

Secure boot: Secure boot husaidia kulinda instance za VM zako dhidi ya programu hasidi za kiwango cha buti na kernel na rootkits.
Enable vTPM: Virtual Trusted Platform Module (vTPM) inathibitisha uadilifu wa buti ya awali na buti ya mgeni wako wa VM, na inatoa kizazi cha ufunguo na ulinzi.
Integrity supervision: Integrity monitoring inakuwezesha kufuatilia na kuthibitisha uadilifu wa buti ya wakati wa uendeshaji wa instance zako za shielded VM kwa kutumia ripoti za Stackdriver. Inahitaji vTPM kuwezeshwa.

Ufikiaji wa VM

Njia ya kawaida ya kuwezesha ufikiaji wa VM ni kwa kuruhusu funguo za umma za SSH fulani kufikia VM. Hata hivyo, inawezekana pia kuwezesha ufikiaji wa VM kupitia huduma ya os-config kwa kutumia IAM. Zaidi ya hayo, inawezekana kuwezesha 2FA kufikia VM kwa kutumia huduma hii. Wakati huduma hii imewezeshwa, ufikiaji kupitia funguo za SSH unazimwa.

Metadata

Inawezekana kufafanua automation (userdata katika AWS) ambayo ni amri za shell ambazo zitatekelezwa kila wakati mashine inawashwa au kuanzishwa upya.

Pia inawezekana kuongeza metadata ya ziada ya thamani ya ufunguo ambayo itapatikana kutoka kwa endpoint ya metadata. Taarifa hii hutumiwa kawaida kwa env variables na scripts za kuanzisha/kuzima. Hii inaweza kupatikana kwa kutumia describe method kutoka kwa amri katika sehemu ya enumeration, lakini inaweza pia kupatikana kutoka ndani ya instance kwa kufikia endpoint ya metadata.

# view project metadata
curl "http://metadata.google.internal/computeMetadata/v1/project/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

# view instance metadata
curl "http://metadata.google.internal/computeMetadata/v1/instance/attributes/?recursive=true&alt=text" \
-H "Metadata-Flavor: Google"

Zaidi ya hayo, token ya uthibitisho kwa akaunti ya huduma iliyounganishwa na maelezo ya jumla kuhusu kifaa, mtandao na mradi pia yatapatikana kutoka kwa metadata endpoint. Kwa maelezo zaidi angalia:

Cloud SSRFHackTricks

Usimbaji

Funguo ya usimbaji inayosimamiwa na Google hutumika kwa chaguo-msingi lakini Funguo ya usimbaji inayosimamiwa na Mteja (CMEK) inaweza kusanidiwa. Unaweza pia kusanidi nini cha kufanya wakati CMEF inayotumika inafutwa: Kumbuka au zima VM.

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Angalia mipango ya usajili!
Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

PreviousGCP - Compute Enum NextGCP - VPC & Networking

Last updated 1 month ago