GCP - Escalade de privilèges des buckets publics

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.

Escalade de privilèges des buckets

Si la politique du bucket permet à “allUsers” ou “allAuthenticatedUsers” de modifier leur politique de bucket (la permission storage.buckets.setIamPolicy), alors n’importe qui peut modifier la politique du bucket et se donner un accès complet.

Vérifier les permissions

Il y a 2 façons de vérifier les permissions sur un bucket. La première consiste à les demander en faisant une requête à https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam ou en exécutant gsutil iam get gs://BUCKET_NAME.

Cependant, si votre utilisateur (appartenant potentiellement à “allUsers” ou “allAuthenticatedUsers”) n’a pas les permissions pour lire la politique iam du bucket (storage.buckets.getIamPolicy), cela ne fonctionnera pas.

L’autre option qui fonctionnera toujours est d’utiliser le point de terminaison testPermissions du bucket pour déterminer si vous avez la permission spécifiée, par exemple en accédant à : https://www.googleapis.com/storage/v1/b/BUCKET_NAME/iam/testPermissions?permissions=storage.buckets.delete&permissions=storage.buckets.get&permissions=storage.buckets.getIamPolicy&permissions=storage.buckets.setIamPolicy&permissions=storage.buckets.update&permissions=storage.objects.create&permissions=storage.objects.delete&permissions=storage.objects.get&permissions=storage.objects.list&permissions=storage.objects.update

Escalade

Pour accorder Storage Admin à allAuthenticatedUsers, il est possible d’exécuter :

gsutil iam ch allAuthenticatedUsers:admin gs://BUCKET_NAME

Une autre attaque consisterait à supprimer le bucket et à le recréer dans votre compte pour voler la propriété.

Références

• https://rhinosecuritylabs.com/gcp/google-cloud-platform-gcp-bucket-enumeration/

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.