Die Gültigkeit von Refresh-Tokens kann unter Admin > Security > Google Cloud session control verwaltet werden; standardmäßig ist sie auf 16h gesetzt, kann aber auf “niemals ablaufen” eingestellt werden:

Authentifizierungsablauf

Der Authentifizierungsablauf bei Verwendung von beispielsweise gcloud auth login öffnet eine Eingabeaufforderung im Browser, und nachdem alle Scopes akzeptiert wurden, sendet der Browser eine Anfrage wie diese an den vom Tool geöffneten http-Port:

/?state=EN5AK1GxwrEKgKog9ANBm0qDwWByYO&code=4/0AeaYSHCllDzZCAt2IlNWjMHqr4XKOuNuhOL-TM541gv-F6WOUsbwXiUgMYvo4Fg0NGzV9A&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email%20https://www.googleapis.com/auth/cloud-platform%20https://www.googleapis.com/auth/appengine.admin%20https://www.googleapis.com/auth/sqlservice.login%20https://www.googleapis.com/auth/compute%20https://www.googleapis.com/auth/accounts.reauth&authuser=0&prompt=consent HTTP/1.1

Then, gcloud will use the state and code with a some hardcoded client_id (32555940559.apps.googleusercontent.com) and client_secret (ZmssLNjJy2998hD4CTg2ejr2) to get the final refresh token data.

Caution

Beachte, dass die Kommunikation mit localhost über HTTP erfolgt, daher ist es möglich, die Daten abzufangen, um einen refresh token zu erhalten. Diese Daten sind jedoch nur einmal gültig, weshalb das Abfangen nutzlos wäre — es ist einfacher, den refresh token direkt aus der Datei zu lesen.

OAuth-Scopes

You can find all Google scopes in https://developers.google.com/identity/protocols/oauth2/scopes or get them executing:

Es ist möglich zu sehen, welche Scopes die Anwendung, die gcloud zur Authentifizierung verwendet, mit diesem Skript unterstützen kann:

Nach der Ausführung wurde geprüft, dass diese App folgende Scopes unterstützt:

https://www.googleapis.com/auth/appengine.admin
https://www.googleapis.com/auth/bigquery
https://www.googleapis.com/auth/cloud-platform
https://www.googleapis.com/auth/compute
https://www.googleapis.com/auth/devstorage.full_control
https://www.googleapis.com/auth/drive
https://www.googleapis.com/auth/userinfo.email

es ist interessant zu sehen, wie diese App den drive-Scope unterstützt, was einem Benutzer erlauben könnte, von GCP zu Workspace zu eskalieren, wenn ein Angreifer den Benutzer dazu bringt, ein Token mit diesem Scope zu erzeugen.

Siehe, wie man das hier missbraucht.

Service Accounts

Wie bei authentifizierten Benutzern gilt: Wenn es dir gelingt, die private key file eines service account zu kompromittieren, kannst du normalerweise so lange darauf zugreifen, wie du willst.
Wenn du jedoch den OAuth token eines service account stiehlst, kann das noch interessanter sein, denn selbst wenn diese Tokens standardmäßig nur etwa eine Stunde gültig sind, bleibt der OAuh token gültig, bis er abläuft, falls das Opfer den privaten api key löscht.

Metadata

Offensichtlich kannst du, solange du dich auf einer Maschine im GCP-Umfeld befindest, auf den service account zugreifen, der an diese Maschine angehängt ist, indem du den metadata endpoint kontaktierst (beachte, dass die Oauth tokens, auf die du über diesen Endpoint zugreifen kannst, normalerweise durch Scopes eingeschränkt sind).

Remediations

Einige Gegenmaßnahmen für diese Techniken werden in https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2 erklärt.

References

• https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-1
• https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

• Überprüfen Sie die Abonnementpläne!
• Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
• Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.