GCP - Generic Permissions Privesc

Загальні Цікаві Дозволи

*.setIamPolicy

Якщо у вас є користувач, який має дозвіл setIamPolicy на ресурсі, ви можете підвищити привілеї на цьому ресурсі, оскільки зможете змінити політику IAM цього ресурсу та отримати більше привілеїв над ним. Цей дозвіл також може дозволити підвищити привілеї до інших суб'єктів, якщо ресурс дозволяє виконувати код і iam.ServiceAccounts.actAs не є необхідним.

• cloudfunctions.functions.setIamPolicy

• Змініть політику Cloud Function, щоб дозволити собі його викликати.

Існує десятки типів ресурсів з цим видом дозволу, ви можете знайти їх усіх на https://cloud.google.com/iam/docs/permissions-reference, шукаючи setIamPolicy.

*.create, *.update

Ці дозволи можуть бути дуже корисними для спроби підвищення привілеїв на ресурсах, створюючи новий або оновлюючи існуючий. Ці дозволи особливо корисні, якщо у вас також є дозвіл iam.serviceAccounts.actAs на Обліковий запис служби та ресурс, над яким у вас є .create/.update може прикріпити обліковий запис служби.

*ServiceAccount*

Цей дозвіл зазвичай дозволить вам отримати доступ або змінити Обліковий запис служби в деякому ресурсі (наприклад: compute.instances.setServiceAccount). Це може призвести до вектора підвищення привілеїв, але це буде залежати від кожного випадку.