GCP - Filestore Enum
Основна інформація
Google Cloud Filestore - це управлений сервіс зберігання файлів, призначений для додатків, які потребують інтерфейсу файлової системи та спільної файлової системи для даних. Цей сервіс відзначається високопродуктивними файловими ресурсами, які можуть бути інтегровані з різними службами GCP. Його корисність проявляється в сценаріях, де традиційні інтерфейси файлової системи та семантика є важливими, наприклад, у медіа-процесінгу, управлінні контентом та резервному копіюванні баз даних.
Ви можете уявити це як будь-який NFS спільний сховище документів - потенційне джерело чутливої інформації.
Підключення
При створенні екземпляра Filestore можливо вибрати мережу, в якій він буде доступний.
Більше того, за замовчуванням всі клієнти на вибраній мережі VPC та в регіоні матимуть до нього доступ, однак можливо обмежити доступ також за IP-адресою або діапазоном та вказати привілегію доступу (Адміністратор, Адміністратор-спостерігач, Редактор, Спостерігач) користувачу, який отримає клієнт в залежності від IP-адреси.
Також можна отримати доступ через Підключення до приватного сервісу:
Є для мережі VPC і можуть бути використані для всіх управлінних служб, таких як Memorystore, Tensorflow та SQL.
Є між вашою мережею VPC та мережею, що належить Google за допомогою з'єднання VPC peering, що дозволяє вашим екземплярам та службам спілкуватися виключно за допомогою внутрішніх IP-адрес.
Створює ізольований проект для вас на стороні виробника послуг, що означає, що інші клієнти не діляться ним. Ви будете сплачувати лише за ресурси, які ви надаєте.
VPC peering імпортує нові маршрути до вашої VPC
Резервні копії
Можливо створити резервні копії файлових ресурсів. Їх можна потім відновити в початковому новому екземплярі Fileshare або в нових.
Шифрування
За замовчуванням використовується шифрувальний ключ, керований Google, але можна вибрати шифрувальний ключ, керований клієнтом (CMEK).
Перелік
Якщо ви знаходите доступний filestore в проекті, ви можете підключити його з вашого скомпрометованого обчислювального екземпляра. Використовуйте наступну команду, щоб переглянути, чи існують які-небудь.
Зверніть увагу, що служба файлового сховища може бути в зовсім новій підмережі, створеній для неї (в межах з'єднання приватного доступу до служби, яке є VPC-піром). Тому може знадобитися перелік VPC-пірів, щоб також запустити nmap по цим діапазонам мережі.
Підвищення привілеїв та пост-експлуатація
Не існує способів підвищення привілеїв в GCP, безпосередньо зловживаючи цією службою, але за допомогою деяких трюків пост-експлуатації можливо отримати доступ до даних, і, можливо, ви зможете знайти деякі облікові дані для підвищення привілеїв:
pageGCP - Filestore Post ExploitationНаполегливість
pageGCP - Filestore PersistenceLast updated