GCP - App Engine Post Exploitation
App Engine
App Engine有关 App Engine 的信息,请查看:
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush拥有这些权限可以:
添加一个键
列出键
获取一个键
删除
然而,我找不到从 cli 访问这些信息的任何方法,只能从网络控制台访问,您需要知道键类型和键名称,或者从正在运行的应用引擎应用中访问。
如果您知道更简单的方法来使用这些权限,请发送 Pull Request!
logging.views.access
logging.views.access拥有此权限可以查看应用的日志:
读取源代码
所有版本和服务的源代码都存储在名为 staging.<proj-id>.appspot.com 的存储桶中。如果您对此有写入权限,您可以读取源代码并搜索漏洞和敏感信息。
修改源代码
修改源代码以窃取凭据(如果它们正在被发送)或执行网页篡改攻击。
Last updated
