La validité des refresh tokens peut être gérée dans Admin > Security > Google Cloud session control, et par défaut elle est réglée sur 16h bien qu’elle puisse être configurée pour n’expirer jamais :

Flux d’authentification

Le flux d’authentification lors de l’utilisation de quelque chose comme gcloud auth login ouvrira une fenêtre dans le navigateur et, après avoir accepté tous les scopes, le navigateur enverra une requête comme celle-ci au port http ouvert par l’outil :

/?state=EN5AK1GxwrEKgKog9ANBm0qDwWByYO&code=4/0AeaYSHCllDzZCAt2IlNWjMHqr4XKOuNuhOL-TM541gv-F6WOUsbwXiUgMYvo4Fg0NGzV9A&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email%20https://www.googleapis.com/auth/cloud-platform%20https://www.googleapis.com/auth/appengine.admin%20https://www.googleapis.com/auth/sqlservice.login%20https://www.googleapis.com/auth/compute%20https://www.googleapis.com/auth/accounts.reauth&authuser=0&prompt=consent HTTP/1.1

Ensuite, gcloud utilisera le state et le code avec un client_id codé en dur (32555940559.apps.googleusercontent.com) et client_secret (ZmssLNjJy2998hD4CTg2ejr2) pour obtenir les données finales du refresh token.

Caution

Notez que la communication avec localhost se fait en HTTP, il est donc possible d’intercepter les données pour obtenir un refresh token ; toutefois ces données ne sont valables qu’une seule fois, donc cela serait inutile — il est plus simple de lire le refresh token depuis le fichier.

Portées OAuth

Vous pouvez trouver toutes les portées Google sur [https://developers.google.com/identity/protocols/oauth2/scopes] ou les obtenir en exécutant:

Il est possible de voir quels scopes l’application que gcloud utilise pour s’authentifier peut supporter avec ce script :

Après exécution, il a été vérifié que cette application prend en charge ces scopes :

https://www.googleapis.com/auth/appengine.admin
https://www.googleapis.com/auth/bigquery
https://www.googleapis.com/auth/cloud-platform
https://www.googleapis.com/auth/compute
https://www.googleapis.com/auth/devstorage.full_control
https://www.googleapis.com/auth/drive
https://www.googleapis.com/auth/userinfo.email

c’est intéressant de voir comment cette app prend en charge le drive scope, ce qui pourrait permettre à un utilisateur d’escalader de GCP vers Workspace si un attaquant parvient à forcer l’utilisateur à générer un token avec ce scope.

Check how to abuse this here.

Comptes de service

Tout comme pour les utilisateurs authentifiés, si vous parvenez à compromettre le fichier de clé privée d’un compte de service vous pourrez y accéder généralement aussi longtemps que vous le souhaitez.
Cependant, si vous volez le OAuth token d’un compte de service cela peut être encore plus intéressant, car, même si par défaut ces tokens ne sont utiles qu’une heure, si la victime supprime la clé API privée, le OAuth token restera valide jusqu’à son expiration.

Métadonnées

Évidemment, tant que vous êtes à l’intérieur d’une machine exécutée dans l’environnement GCP vous pourrez accéder au compte de service attaché à cette machine en contactant le metadata endpoint (notez que les OAuth tokens accessibles via cet endpoint sont généralement restreints par des scopes).

Remédiations

Certaines remédiations pour ces techniques sont expliquées dans https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2

Références

• https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-1
• https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.