GCP - local privilege escalation ssh pivoting

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Confira os planos de assinatura!

Junte-se ao 💬 grupo do Discord ou ao grupo do telegram ou siga-nos no Twitter 🐦 @hacktricks_live.

Compartilhe truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

neste cenário vamos supor que você comprometeu uma conta sem privilégios dentro de uma VM em um projeto do Compute Engine.

Surpreendentemente, as permissões do GPC do Compute Engine que você comprometeu podem ajudá-lo a escalar privilégios localmente dentro de uma máquina. Mesmo que isso nem sempre seja muito útil em um ambiente cloud, é bom saber que é possível.

Leia os scripts

Compute Instances provavelmente existem para executar alguns scripts para realizar ações com suas service accounts.

Como o IAM é granular, uma conta pode ter privilégios de leitura/escrita sobre um recurso, mas sem privilégios de listagem.

Um ótimo exemplo hipotético disso é uma Compute Instance que tem permissão para ler/gravar backups em um storage bucket chamado instance82736-long-term-xyz-archive-0332893.

Executar gsutil ls a partir da linha de comando não retorna nada, pois a service account não tem a permissão IAM storage.buckets.list. No entanto, se você executar gsutil ls gs://instance82736-long-term-xyz-archive-0332893 pode encontrar um backup completo do sistema de arquivos, dando acesso em texto claro a dados que sua conta Linux local não possui.

Você pode ser capaz de encontrar esse nome de bucket dentro de um script (em bash, Python, Ruby…).

Custom Metadata

Administrators can add custom metadata at the instance and project level. Essa é simplesmente uma forma de passar pares arbitrários chave/valor para dentro de uma instância, e é comumente usada para variáveis de ambiente e scripts de startup/shutdown.

Além disso, é possível adicionar userdata, que é um script que será executado toda vez que a máquina for iniciada ou reiniciada e que também pode ser acessado a partir do endpoint de metadata.

For more info check:

Cloud SSRF - HackTricks

Abusing IAM permissions

A maioria das permissões listadas a seguir são concedidas ao default Compute SA, o único problema é que o escopo de acesso padrão impede que o SA as utilize. No entanto, se o escopo cloud-platform estiver habilitado ou apenas o escopo compute estiver habilitado, você poderá abusar delas.

Check the following permissions:

Search for Keys in the filesystem

Verifique se outros usuários efetuaram login no gcloud dentro da máquina e deixaram suas credenciais no sistema de arquivos:

Procurar credenciais gcloud no sistema de arquivos

``` sudo find / -name "gcloud" ```

Estes são os arquivos mais interessantes:

~/.config/gcloud/credentials.db
~/.config/gcloud/legacy_credentials/[ACCOUNT]/adc.json
~/.config/gcloud/legacy_credentials/[ACCOUNT]/.boto
~/.credentials.json

Mais API Keys regexes

Padrões de grep para GCP credentials and keys

```bash TARGET_DIR="/path/to/whatever"

Service account keys

grep -Pzr “(?s){[^{}]?service_account[^{}]?private_key.*?}”
“$TARGET_DIR”

Legacy GCP creds

grep -Pzr “(?s){[^{}]?client_id[^{}]?client_secret.*?}”
“$TARGET_DIR”

Google API keys

grep -Pr “AIza[a-zA-Z0-9\-_]{35}”
“$TARGET_DIR”

Google OAuth tokens

grep -Pr “ya29.[a-zA-Z0-9_-]{100,200}”
“$TARGET_DIR”

Generic SSH keys

grep -Pzr “(?s)—–BEGIN[ A-Z]?PRIVATE KEY[a-zA-Z0-9/+=\n-]?END[ A-Z]*?PRIVATE KEY—–”
“$TARGET_DIR”

Signed storage URLs

grep -Pir “storage.googleapis.com.*?Goog-Signature=[a-f0-9]+”
“$TARGET_DIR”

Signed policy documents in HTML

grep -Pzr ‘(?s)<form action.?googleapis.com.?name=“signature” value=“.*?”>’
“$TARGET_DIR”

</details>

## Referências

- [https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/](https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/)

> [!TIP]
> Aprenda e pratique Hacking AWS:<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="../../../../../images/arte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">\
> Aprenda e pratique Hacking GCP: <img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)<img src="../../../../../images/grte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
> Aprenda e pratique Hacking Azure: <img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">[**HackTricks Training Azure Red Team Expert (AzRTE)**](https://training.hacktricks.xyz/courses/azrte)<img src="../../../../../images/azrte.png" alt="" style="width:auto;height:24px;vertical-align:middle;">
>
> <details>
>
> <summary>Support HackTricks</summary>
>
> - Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
> - **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks_live**](https://twitter.com/hacktricks_live)**.**
> - **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
>
> </details>