GCP - IAM Post Exploitation

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

IAM

Ви можете знайти додаткову інформацію про IAM у:

GCP - IAM, Principals & Org Policies Enum

Надання доступу до консолі керування

Доступ до GCP management console надається user accounts, not service accounts. Щоб увійти у веб-інтерфейс, ви можете надати доступ до Google account, яким ви керуєте. Це може бути загальний “@gmail.com” обліковий запис, він не обов’язково має бути членом цільової організації.

Щоб надати примітивну роль Owner загальному акаунту “@gmail.com”, вам, однак, потрібно використати веб-консоль. gcloud виведе помилку, якщо ви спробуєте надати права вище Editor.

Ви можете використати таку команду, щоб надати користувачеві примітивну роль Editor у вашому існуючому проекті:

gcloud projects add-iam-policy-binding [PROJECT] --member user:[EMAIL] --role roles/editor

If you succeeded here, try accessing the web interface and exploring from there.

This is the highest level you can assign using the gcloud tool.

Видалення компонентів IAM iam.*.delete

Права iam.*.delete (наприклад, iam.roles.delete, iam.serviceAccountApiKeyBindings.delete, iam.serviceAccountKeys.delete тощо) дозволяють ідентичності видаляти критично важливі компоненти IAM, такі як користувацькі ролі, прив’язки API-ключів, ключі service account та самі service account. У руках зловмисника це дає змогу прибрати легітимні механізми доступу з метою спричинення відмови в обслуговуванні.

Щоб здійснити таку атаку, наприклад, можна видалити ролі за допомогою:

gcloud iam roles delete <ROLE_ID> --project=<PROJECT_ID>

iam.serviceAccountKeys.disable || iam.serviceAccounts.disable

Дозволи iam.serviceAccountKeys.disable та iam.serviceAccounts.disable дозволяють деактивувати активні ключі сервісного облікового запису або самі сервісні облікові записи. У руках атакувальника це може бути використано для порушення роботи, створення відмови в обслуговуванні або перешкоджання реагуванню на інциденти шляхом запобігання використанню легітимних облікових даних.

Щоб деактивувати Service Account, ви можете використати таку команду:

gcloud iam service-accounts disable <SA_EMAIL> --project=<PROJECT_ID>

Щоб вимкнути keys Service Account, ви можете скористатися наступною командою:

gcloud iam service-accounts keys disable <KEY_ID> --iam-account=<SA_EMAIL>

iam.*.undelete

Права iam.*.undelete дозволяють відновлювати раніше видалені елементи, такі як прив’язки API-ключів, користувацькі ролі або сервісні акаунти. У руках зловмисника це може використовуватися для скасування захисних дій (відновлення вилученого доступу), повторного відновлення видалених векторів компрометації для збереження стійкої присутності або для ухилення від заходів усунення, що ускладнює локалізацію інциденту.

gcloud iam service-accounts undelete "${SA_ID}" --project="${PROJECT}"

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks