GCP - Privesc de Permissões Genéricas

Reading time: 3 minutes

Permissões Genéricas Interessantes

*.setIamPolicy

Se você possui um usuário que tem a setIamPolicy permission em um recurso você pode escalar privilégios nesse recurso porque você poderá alterar a política IAM desse recurso e conceder a si mesmo mais privilégios sobre ele.
Essa permissão também pode permitir escalar para outros principals se o recurso permitir executar código e o iam.ServiceAccounts.actAs não for necessário.

• cloudfunctions.functions.setIamPolicy
• Modify the policy of a Cloud Function to allow yourself to invoke it.

Existem dezenas de tipos de recursos com esse tipo de permissão; você pode encontrá-los todos em https://cloud.google.com/iam/docs/permissions-reference procurando por setIamPolicy.

*.create, *.update

Essas permissões podem ser muito úteis para tentar escalar privilégios em recursos ao criar um novo ou atualizar um existente. Esse tipo de permissão é especialmente útil se você também tiver a permissão iam.serviceAccounts.actAs sobre um Service Account e o recurso sobre o qual você tem .create/.update puder anexar um Service Account.

*ServiceAccount*

Essa permissão geralmente permitirá que você acesse ou modifique um Service Account em algum recurso (e.g.: compute.instances.setServiceAccount). Isso poderia levar a um vetor de escalada de privilégios, mas dependerá de cada caso.

iam.ServiceAccounts.actAs

Essa permissão permite que você anexe um Service Account a um recurso que o suporte (e.g.: Compute Engine VM, Cloud Function, Cloud Run, etc).
Se você conseguir anexar um Service Account que tenha mais privilégios do que seu usuário a um recurso que possa executar código, você poderá escalar seus privilégios executando código com esse Service Account.

Procure no Cloud Hacktricks por iam.ServiceAccounts.actAs para encontrar vários exemplos de como escalar privilégios com essa permissão.