HackTricks CloudGCP - Cloud Run Post Exploitation
Tip
AWS Hacking’i öğrenin ve pratik yapın:
HackTricks Training AWS Red Team Expert (ARTE)
GCP Hacking’i öğrenin ve pratik yapın:HackTricks Training GCP Red Team Expert (GRTE)
Az Hacking’i öğrenin ve pratik yapın:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
- PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.
Cloud Run
Cloud Run hakkında daha fazla bilgi için bakınız:
CloudRun Job Silme
run.services.delete ve run.services.get izinleri ile run.jobs.delete izni, bir kimliğin bir Cloud Run service veya job’u yapılandırması ve geçmişi dahil olmak üzere tamamen silmesine olanak tanır. Bir saldırganın elinde, bu uygulamalarda veya kritik iş akışlarında anlık kesintilere neden olabilir ve hizmet mantığına veya temel zamanlanmış görevlere bağımlı kullanıcılar ve sistemler için bir denial of service (DoS) durumuna yol açabilir.
Bir job’ı silmek için aşağıdaki işlem gerçekleştirilebilir.
gcloud run jobs delete <JOB_NAME> --region=<REGION> --quiet
Bir servisi silmek için aşağıdaki işlem yapılabilir.
gcloud run services delete <SERVICE_NAME> --region=<REGION> --quiet
Görüntülere erişim
Eğer container images’e erişebiliyorsanız, kodu zafiyetler ve hardcoded hassas bilgiler açısından kontrol edin. Ayrıca env variables içindeki hassas bilgiler için de bakın.
Eğer görüntüler Artifact Registry hizmeti içindeki reposlarda depolanmışsa ve kullanıcının bu reposlarda okuma erişimi varsa, kullanıcı imajı bu servisten indirebilir.
İmajı değiştirin & yeniden dağıtın
Run image’i bilgi çalacak şekilde değiştirin ve yeni sürümü yeniden dağıtın (aynı tag’lere sahip yeni bir docker container’ı sadece yüklemek onu çalıştırmaz). Örneğin, eğer bir login page sunuluyorsa, kullanıcıların gönderdiği credentials’leri çalın.
Tip
AWS Hacking’i öğrenin ve pratik yapın:
GCP Hacking’i öğrenin ve pratik yapın:
Az Hacking’i öğrenin ve pratik yapın:HackTricks'i Destekleyin
- Abonelik planlarını kontrol edin!
- Katılın 💬 Discord group veya telegram group veya Twitter’da bizi takip edin 🐦 @hacktricks_live.
- PR göndererek hacking tricks paylaşın: HackTricks ve HackTricks Cloud github repos.