GCP - IAM Μετά την εκμετάλλευση

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

IAM

Μπορείτε να βρείτε περισσότερες πληροφορίες για το IAM στο:

GCP - IAM, Principals & Org Policies Enum

Παροχή πρόσβασης στην κονσόλα διαχείρισης

Η πρόσβαση στην GCP management console παρέχεται σε λογαριασμούς χρηστών, όχι σε λογαριασμούς υπηρεσιών. Για να συνδεθείτε στη web διεπαφή, μπορείτε να παραχωρήσετε πρόσβαση σε λογαριασμό Google που ελέγχετε. Αυτό μπορεί να είναι ένας γενικός “@gmail.com” λογαριασμός, δεν χρειάζεται να είναι μέλος του στοχευόμενου οργανισμού.

Για να παραχωρήσετε τον βασικό ρόλο Owner σε έναν γενικό “@gmail.com” λογαριασμό, όμως, θα χρειαστεί να χρησιμοποιήσετε την web console. Το gcloud θα εμφανίσει σφάλμα αν προσπαθήσετε να του παραχωρήσετε δικαιώματα πάνω από Editor.

Μπορείτε να χρησιμοποιήσετε την παρακάτω εντολή για να παραχωρήσετε σε έναν χρήστη τον βασικό ρόλο Editor στο υπάρχον project σας:

gcloud projects add-iam-policy-binding [PROJECT] --member user:[EMAIL] --role roles/editor

Αν τα κατάφερες εδώ, δοκίμασε να αποκτήσεις πρόσβαση στη διεπαφή web και να εξερευνήσεις από εκεί.

Αυτό είναι το υψηλότερο επίπεδο που μπορείς να εκχωρήσεις χρησιμοποιώντας το εργαλείο gcloud.

Διαγραφή συστατικών IAM iam.*.delete

Τα δικαιώματα iam.*.delete (π.χ., iam.roles.delete, iam.serviceAccountApiKeyBindings.delete, iam.serviceAccountKeys.delete, κ.λπ.) επιτρέπουν σε μια ταυτότητα να διαγράψει κρίσιμα στοιχεία του IAM, όπως προσαρμοσμένους ρόλους, συνδέσεις κλειδιών API (API key bindings), κλειδιά service account και τα ίδια τα service accounts. Στα χέρια ενός επιτιθέμενου, αυτό καθιστά δυνατή την αφαίρεση νόμιμων μηχανισμών πρόσβασης με σκοπό την πρόκληση άρνησης υπηρεσίας.

Για να πραγματοποιηθεί μια τέτοια επίθεση, είναι δυνατό, για παράδειγμα, να διαγραφούν ρόλοι χρησιμοποιώντας:

gcloud iam roles delete <ROLE_ID> --project=<PROJECT_ID>

iam.serviceAccountKeys.disable || iam.serviceAccounts.disable

Οι άδειες iam.serviceAccountKeys.disable και iam.serviceAccounts.disable επιτρέπουν την απενεργοποίηση ενεργών κλειδιών service account ή των service accounts, τα οποία, στα χέρια ενός επιτιθέμενου, μπορούν να χρησιμοποιηθούν για να διαταράξουν τις λειτουργίες, να προκαλέσουν denial of service ή να δυσχεράνουν την αντιμετώπιση περιστατικών αποτρέποντας τη χρήση νόμιμων διαπιστευτηρίων.

Για να απενεργοποιήσετε ένα Service Account, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή:

gcloud iam service-accounts disable <SA_EMAIL> --project=<PROJECT_ID>

Για να απενεργοποιήσετε τα keys ενός Service Account, μπορείτε να χρησιμοποιήσετε την ακόλουθη εντολή:

gcloud iam service-accounts keys disable <KEY_ID> --iam-account=<SA_EMAIL>

iam.*.undelete

Οι άδειες iam.*.undelete επιτρέπουν την επαναφορά προηγουμένως διαγραμμένων στοιχείων, όπως API key bindings, custom roles ή service accounts. Στα χέρια ενός επιτιθέμενου, αυτό μπορεί να χρησιμοποιηθεί για να αντιστρέψει αμυντικές ενέργειες (ανάκτηση αφαιρεθείσας πρόσβασης), να επαναφέρει διαγραμμένους μοχλούς παραβίασης για να διατηρήσει πρόσβαση, ή να αποφύγει προσπάθειες αποκατάστασης, περιπλέκοντας τον περιορισμό του περιστατικού.

gcloud iam service-accounts undelete "${SA_ID}" --project="${PROJECT}"

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks