GCP - Cloudfunctions Privesc

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.

cloudfunctions

Додаткова інформація про Cloud Functions:

`cloudfunctions.functions.create`, `cloudfunctions.functions.sourceCodeSet`, `iam.serviceAccounts.actAs`

Атакувальник з цими привілеями може створити нову Cloud Function з довільним (зловмисним) кодом та призначити їй обліковий запис служби. Потім витікати токен облікового запису служби з метаданих для підвищення привілеїв до нього. Можливо, потрібні деякі привілеї для запуску функції.

Скрипти експлойту для цього методу можна знайти тут та тут, а попередньо побудований файл .zip можна знайти тут.

`cloudfunctions.functions.update`, `cloudfunctions.functions.sourceCodeSet`, `iam.serviceAccounts.actAs`

Атакувальник з цими привілеями може змінити код функції та навіть змінити прикріплений обліковий запис з метою витікання токена. Можливо, потрібні деякі привілеї для запуску функції.

Скрипт експлойту для цього методу можна знайти тут.

`cloudfunctions.functions.sourceCodeSet`

З цим дозволом ви можете отримати підписаний URL для завантаження файлу в бакет функції (але код функції не буде змінено, вам все ще потрібно оновити його)

# Generate the URL
curl -X POST https://cloudfunctions.googleapis.com/v2/projects/{project-id}/locations/{location}/functions:generateUploadUrl \
-H "Authorization: Bearer $(gcloud auth application-default print-access-token)" \
-H "Content-Type: application/json" \
-d '{}'

Не дуже впевнений, наскільки корисний цей дозвіл з точки зору атакувальника, але добре знати.

`cloudfunctions.functions.setIamPolicy`, `iam.serviceAccounts.actAs`

Надайте собі будь-які з попередніх привілеїв .update або .create для ескалації.

`cloudfunctions.functions.update`

Маючи лише дозволи cloudfunctions, без iam.serviceAccounts.actAs, ви не зможете оновити функцію, ТОМУ ЦЕ НЕ Є ДІЙСНОЮ ПІДВИЩЕННЯМ ПРИВІЛЕГІЙ.

Дозволи на запис у кошику

Атакувальник з дозволами на запис у кошику, де зберігається код Cloud Functions, зможе змінювати код, перезаписуючи function_code.zip і зможе виконувати довільний код після виконання.

Посилання

https://rhinosecuritylabs.com/gcp/privilege-escalation-google-cloud-platform-part-1/

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити свою компанію рекламовану в HackTricks або завантажити HackTricks у PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

PreviousGCP - Cloudbuild Privesc NextGCP - Cloudidentity Privesc

Last updated 1 month ago