GCP - Public Buckets Privilege Escalation
Підвищення привілеїв для кошиків
Якщо політика кошика дозволяє "allUsers" або "allAuthenticatedUsers" записувати в свою політику кошика (дозвіл storage.buckets.setIamPolicy), то будь-хто може змінити політику кошика і надати собі повний доступ.
Перевірка дозволів
Є 2 способи перевірити дозволи для кошика. Перший - запитати їх, виконавши запит на https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam
або запустивши gsutil iam get gs://BUCKET_NAME
.
Однак, якщо ваш користувач (потенційно належить до allUsers або allAuthenticatedUsers") не має дозволу на читання політики iam кошика (storage.buckets.getIamPolicy), це не спрацює.
Інша опція, яка завжди працюватиме, - використовувати кінцеву точку testPermissions кошика, щоб визначити, чи є у вас вказаний дозвіл, наприклад, доступ до: https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam/testPermissions?permissions=storage.buckets.delete&permissions=storage.buckets.get&permissions=storage.buckets.getIamPolicy&permissions=storage.buckets.setIamPolicy&permissions=storage.buckets.update&permissions=storage.objects.create&permissions=storage.objects.delete&permissions=storage.objects.get&permissions=storage.objects.list&permissions=storage.objects.update
Підвищення привілеїв
Для надання Адміністратора сховища
для allAuthenticatedUsers
можна виконати:
Іншим нападом може бути видалення віджета та повторне створення його у вашому обліковому записі для крадіжки власності.
Посилання
Last updated