GCP - BigQuery Privesc

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Proverite planove pretplate!

Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.

Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

BigQuery

Za više informacija o BigQuery pogledajte:

GCP - Bigquery Enum

Čitanjem informacija pohranjenih u BigQuery tabeli može se pronaći osetljive informacije. Za pristup informacijama potrebna je dozvola bigquery.tables.get, bigquery.jobs.create i bigquery.tables.getData:

Čitanje podataka iz BigQuery tabele

```bash bq head . bq query --nouse_legacy_sql 'SELECT * FROM `..` LIMIT 1000' ```

Izvoz podataka

Ovo je još jedan način da se pristupi podacima. Izvezi ih u cloud storage bucket i preuzmi fajlove sa informacijama.
Za izvođenje ove akcije potrebna su sledeća dopuštenja: bigquery.tables.export, bigquery.jobs.create i storage.objects.create.

Export BigQuery table to Cloud Storage

```bash bq extract .

"gs:///table*.csv" ```

Ubacivanje podataka

Moguće je ubaciti podatke koji će biti smatrani pouzdanima u BigQuery tabelu kako bi se zloupotrebila ranjivost na nekom drugom mestu. Ovo se lako može uraditi sa dozvolama bigquery.tables.get, bigquery.tables.updateData i bigquery.jobs.create:

Ubacivanje podataka u BigQuery tabelu

```bash # Via query bq query --nouse_legacy_sql 'INSERT INTO `..` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

Via insert param

bq insert dataset.table /tmp/mydata.json

</details>

### `bigquery.datasets.setIamPolicy`

Napadač može zloupotrebiti ovu privilegiju da **dodeli sebi dodatna ovlašćenja** nad BigQuery datasetom:

<details>
<summary>Postavi IAM politiku na BigQuery dataset</summary>
```bash
# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

`bigquery.datasets.update`, (`bigquery.datasets.get`)

Samo ova dozvola omogućava da ažurirate svoj pristup nad BigQuery skupom podataka menjajući ACLs koji ukazuju ko može da mu pristupi:

Ažuriraj ACLs skupa podataka BigQuery

```bash # Download current permissions, reqires bigquery.datasets.get bq show --format=prettyjson : > acl.json ## Give permissions to the desired user bq update --source acl.json : ## Read it with bq head $PROJECT_ID:.

```

`bigquery.tables.setIamPolicy`

Napadač može zloupotrebiti ovu privilegiju da sebi dodeli dodatna ovlašćenja nad BigQuery tabelom:

Postavljanje IAM politike na BigQuery tabelu

```bash # For this you also need bigquery.tables.setIamPolicy bq add-iam-policy-binding \ --member='user:' \ --role='roles/bigquery.admin' \ :.

use the set-iam-policy if you don’t have bigquery.tables.setIamPolicy

</details>

### `bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Prema dokumentaciji, sa pomenutim dozvolama je moguće **ažurirati politiku pristupa reda.**\
Međutim, **koristeći CLI `bq`** potrebne su još neke: **`bigquery.rowAccessPolicies.create`**, **`bigquery.tables.get`**.

<details>
<summary>Kreiraj ili zameni politiku pristupa reda</summary>
```bash
bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

Moguće je pronaći filter ID u izlazu row policies enumeration. Na primer:

Prikaži row access policies

```bash bq ls --row_access_policies :.

Id Filter Predicate Grantees Creation Time Last Modified Time

apac_filter term = “Cfba” user:asd@hacktricks.xyz 21 Jan 23:32:09 21 Jan 23:32:09

</details>

Ako imate **`bigquery.rowAccessPolicies.delete`** umesto `bigquery.rowAccessPolicies.update`, možete jednostavno i obrisati politiku:

<details>
<summary>Obriši row access policies</summary>
```bash
# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Caution

Još jedna potencijalna opcija za zaobilaženje row access policies bila bi jednostavno promeniti vrednost ograničenih podataka. Ako možeš da vidiš samo kada je term Cfba, samo izmeni sve zapise u tabeli da imaju term = "Cfba". Međutim, bigquery to sprečava.

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Proverite planove pretplate!

Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.

Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.