Chinese - Ht Cloud
HackTricks TrainingTwitterLinkedinSponsor

GCP - API Keys Enum

Support HackTricks

基本信息

在谷歌云平台(GCP)中,API 密钥是一个简单的加密字符串,用于在没有任何主体的情况下识别应用程序。它们用于访问不需要用户上下文的 Google Cloud API。这意味着它们通常用于应用程序访问其自身数据而不是用户数据的场景。

限制

您可以对 API 密钥应用限制以增强安全性。例如,您可以限制密钥仅由某些 IP 地址、网站、安卓应用、iOS 应用使用,或限制其仅用于 GCP 内的某些 API 或服务

枚举

可以使用动词列表或描述来查看 API 密钥的限制(包括 GCP API 端点限制):

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

在30天内可以恢复已删除的密钥,这就是为什么您可以列出已删除的密钥。

权限提升与后期利用

GCP - Apikeys Privesc

未经身份验证的枚举

GCP - API Keys Unauthenticated Enum

持久性

GCP - API Keys Persistence
支持 HackTricks
PreviousGCP - AI Platform EnumNextGCP - App Engine Enum

Last updated