GCP - Source Repositories Enum

Jifunze kuhusu udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA USAJILI!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au fuata kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

Taarifa Msingi

Google Cloud Source Repositories ni huduma kamili, inayoweza kupanuliwa, huduma ya hifadhi ya Git binafsi. Imetengenezwa kwa kutunza msimbo wako chanzo katika mazingira yaliyosimamiwa kabisa, ikishirikiana kwa urahisi na zana na huduma zingine za GCP. Inatoa mahali pa ushirikiano na salama kwa timu kuhifadhi, kusimamia, na kufuatilia msimbo wao.

Sifa muhimu za Repositories za Chanzo cha Cloud ni pamoja na:

Hifadhi ya Git Iliyosimamiwa Kabisa: Inatoa utendaji wa kawaida wa Git, maana unaweza kutumia amri na mifumo ya kazi ya kawaida ya Git.
Ushirikiano na Huduma za GCP: Inashirikiana na huduma zingine za GCP kama Cloud Build, Pub/Sub, na App Engine kwa ufuatiliaji kamili kutoka msimbo hadi kusambaza.
Repositories Binafsi: Inahakikisha msimbo wako unahifadhiwa kwa usalama na faragha. Unaweza kudhibiti ufikiaji kwa kutumia majukumu ya Utambulisho na Usimamizi wa Ufikiaji wa Cloud (IAM).
Uchambuzi wa Msimbo wa Chanzo: Inafanya kazi na zana zingine za GCP kutoa uchambuzi wa moja kwa moja wa msimbo wako chanzo, kutambua masuala yanayowezekana kama mende, mapungufu, au mazoea mabaya ya kuandika msimbo.
Zana za Ushirikiano: Inasaidia uandishi wa kushirikiana na zana kama maombi ya kuchanganya, maoni, na mapitio.
Msaada wa Kioo: Inakuruhusu kuunganisha Repositories za Chanzo cha Cloud na repositori zilizohifadhiwa kwenye GitHub au Bitbucket, ikiruhusu kusawazisha moja kwa moja na kutoa mtazamo mmoja wa repositori zako zote.

Taarifa za OffSec

Usanidi wa repositories za chanzo ndani ya mradi utakuwa na Akaunti ya Huduma inayotumiwa kutuma ujumbe wa Cloud Pub/Sub. Ile ya kawaida inayotumiwa ni Compute SA. Walakini, Sifikiri ni rahisi kuiba token yake kutoka kwa Repositories za Chanzo kwani inatekelezwa nyuma.
Ili kuona msimbo ndani ya GCP Cloud Source Repositories kwenye konsoli ya wavuti (https://source.cloud.google.com/), unahitaji msimbo uwe ndani ya tawi la msingi kwa chaguo-msingi.
Unaweza pia kuunda Kioo cha Repositori cha Cloud kinachoelekeza kwenye repo kutoka Github au Bitbucket (ukiruhusu ufikiaji wa majukwaa hayo).
Ni rahisi kuandika na kurekebisha kutoka ndani ya GCP.
Kwa chaguo-msingi, Repositories za Chanzo zinazuia funguo za faragha kusukumwa katika mabadiliko, lakini hii inaweza kulemazwa.

Fungua kwenye Cloud Shell

Inawezekana kufungua repositori kwenye Cloud Shell, dirisha kama hili litatokea:

Hii itakuruhusu kuandika na kurekebisha kwenye Cloud Shell (ambayo inaweza kudukuliwa).

Uorodheshaji

# Repos enumeration
gcloud source repos list #Get names and URLs
gcloud source repos describe <repo_name>
gcloud source repos get-iam-policy <repo_name>

# gcloud repo clone
gcloud source repos clone <REPO NAME>
gcloud source repos get-iam-policy <REPO NAME>
... git add & git commit -m ...
git push --set-upstream origin master
git push -u origin master

# Access via git
## To add a SSH key go to https://source.cloud.google.com/user/ssh_keys (no gcloud command)
git clone ssh://username@domain.com@source.developers.google.com:2022/p/<proj-name>/r/<repo-name>
git add, commit, push...

Upandishaji wa Mamlaka & Baada ya Kudukuliwa

pageGCP - Sourcerepos Privesc

Upimaji wa Enum Bila Kuthibitishwa

pageGCP - Source Repositories Unauthenticated Enum

PreviousGCP - Security Enum NextGCP - Spanner Enum

Last updated 1 month ago