GCP - Artifact Registry Persistence

Tip

Jifunze na ufanye mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Saidia HackTricks

• Angalia the subscription plans!
• Jiunge na 💬 Discord group au the telegram group au utufuate kwenye Twitter 🐦 @hacktricks_live.
• Shiriki hacking tricks kwa kutuma PRs kwa HackTricks and HackTricks Cloud github repos.

Artifact Registry

Kwa maelezo zaidi kuhusu Artifact Registry angalia:

GCP - Artifact Registry Enum

Dependency Confusion

• Nini kinatokea ikiwa hifadhi za mbali na za kawaida zinachanganywa katika moja ya virtual na pakiti inapatikana katika zote mbili?
• Ile yenye kipaumbele cha juu zaidi kilichowekwa katika hifadhi ya virtual inatumika
• Ikiwa kipaumbele ni sawa:
• Ikiwa toleo ni sawa, jina la sera kwa alfabeti ya kwanza katika hifadhi ya virtual inatumika
• Ikiwa sivyo, toleo la juu zaidi linatumika

Caution

Kwa hivyo, inawezekana kudhulumu toleo la juu zaidi (dependency confusion) katika hifadhi ya pakiti ya umma ikiwa hifadhi ya mbali ina kipaumbele cha juu au sawa

Teknolojia hii inaweza kuwa na manufaa kwa persistence na ufikiaji usio na uthibitisho kwani ili kuidhulumu inahitaji tu kujua jina la maktaba iliyohifadhiwa katika Artifact Registry na kuunda maktaba hiyo hiyo katika hifadhi ya umma (PyPi kwa python kwa mfano) yenye toleo la juu zaidi.

Kwa ajili ya persistence hizi ndizo hatua unahitaji kufuata:

• Mahitaji: Hifadhi ya virtual lazima iwepo na itumike, pakiti ya ndani yenye jina ambalo halipo katika hifadhi ya umma lazima itumike.
• Unda hifadhi ya mbali ikiwa haipo
• Ongeza hifadhi ya mbali kwenye hifadhi ya virtual
• Hariri sera za hifadhi ya virtual ili kutoa kipaumbele cha juu (au sawa) kwa hifadhi ya mbali.
  Fanya kitu kama:
• gcloud artifacts repositories update –upstream-policy-file …
• Pakua pakiti halali, ongeza msimbo wako mbaya na uisajili katika hifadhi ya umma kwa toleo sawa. Kila wakati mendelezi anapoisakinisha, atasakinisha yako!

Kwa maelezo zaidi kuhusu dependency confusion angalia:

Dependency Confusion - HackTricks

Tip

Jifunze na ufanye mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Saidia HackTricks

• Angalia the subscription plans!
• Jiunge na 💬 Discord group au the telegram group au utufuate kwenye Twitter 🐦 @hacktricks_live.
• Shiriki hacking tricks kwa kutuma PRs kwa HackTricks and HackTricks Cloud github repos.