GCP - Filestore Enum

Reading time: 4 minutes

기본 정보

Google Cloud Filestore는 파일 시스템 인터페이스와 데이터에 대한 공유 파일 시스템이 필요한 애플리케이션을 위해 맞춤화된 관리형 파일 저장 서비스입니다. 이 서비스는 다양한 GCP 서비스와 통합할 수 있는 고성능 파일 공유를 제공하여 뛰어난 성능을 발휘합니다. 전통적인 파일 시스템 인터페이스와 의미가 중요한 미디어 처리, 콘텐츠 관리 및 데이터베이스 백업과 같은 시나리오에서 유용합니다.

이것은 다른 NFS 공유 문서 저장소와 같다고 생각할 수 있습니다 - 민감한 정보의 잠재적 출처입니다.

연결

Filestore 인스턴스를 생성할 때 접근할 네트워크를 선택할 수 있습니다.

또한, 선택한 VPC 네트워크와 지역의 모든 클라이언트가 기본적으로 접근할 수 있지만, IP 주소 또는 범위로 접근을 제한할 수 있으며, 클라이언트가 **IP 주소에 따라 받을 접근 권한(관리자, 관리자 뷰어, 편집자, 뷰어)**을 지정할 수 있습니다.

또한 프라이빗 서비스 액세스 연결을 통해 접근할 수 있습니다:

• VPC 네트워크별로 관리되는 모든 서비스(예: Memorystore, Tensorflow 및 SQL)에서 사용할 수 있습니다.
• VPC 피어링을 사용하여 Google이 소유한 네트워크와 귀하의 VPC 네트워크 간에 이루어지며, 인스턴스와 서비스가 내부 IP 주소를 사용하여 독점적으로 통신할 수 있도록 합니다.
• 서비스 제공자 측에서 귀하를 위한 격리된 프로젝트를 생성하여 다른 고객과 공유되지 않도록 합니다. 귀하는 프로비저닝한 리소스에 대해서만 요금이 청구됩니다.
• VPC 피어링은 귀하의 VPC에 새로운 경로를 가져옵니다.

백업

파일 공유의 백업을 생성할 수 있습니다. 이러한 백업은 나중에 원본 새로운 Fileshare 인스턴스 또는 새로운 인스턴스에 복원할 수 있습니다.

암호화

기본적으로 Google 관리 암호화 키가 데이터를 암호화하는 데 사용되지만, **고객 관리 암호화 키(CMEK)**를 선택할 수 있습니다.

열거

프로젝트에서 사용 가능한 filestore를 찾으면, 손상된 Compute Instance 내에서 마운트할 수 있습니다. 다음 명령을 사용하여 존재하는지 확인하십시오.

# Instances
gcloud filestore instances list # Check the IP address
gcloud filestore instances describe --zone <zone> <name> # Check IP and access restrictions

# Backups
gcloud filestore backups list
gcloud filestore backups describe --region <region> <backup>

# Search for NFS shares in a VPC subnet
sudo nmap -n -T5 -Pn -p 2049 --min-parallelism 100 --min-rate 1000 --open 10.99.160.2/20

# Get peerings
gcloud compute networks peerings list
# Get routes imported from a peering
gcloud compute networks peerings list-routes <peering-name> --network=<network-name> --region=<region> --direction=INCOMING

Privilege Escalation & Post Exploitation

GCP에서 이 서비스를 직접 악용하여 권한을 상승시키는 방법은 없지만, 일부 Post Exploitation 트릭을 사용하면 데이터에 접근할 수 있습니다. 아마도 권한을 상승시키기 위한 자격 증명을 찾을 수 있을 것입니다:

GCP - Filestore Post Exploitation

Persistence

GCP - Filestore Persistence