DO - Apps

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Grundinformationen

Aus den Dokumenten: Die App-Plattform ist ein Platform-as-a-Service (PaaS)-Angebot, das Entwicklern ermöglicht, Code direkt auf DigitalOcean-Servern zu veröffentlichen, ohne sich um die zugrunde liegende Infrastruktur kümmern zu müssen.

Sie können Code direkt von github, gitlab, docker hub, DO container registry (oder einer Beispielanwendung) ausführen.

Beim Definieren einer env var können Sie sie als verschlüsselt festlegen. Der einzige Weg, ihren Wert zu erhalten, besteht darin, Befehle innerhalb des Hosts auszuführen, der die App ausführt.

Eine App-URL sieht so aus: https://dolphin-app-2tofz.ondigitalocean.app

Aufzählung

doctl apps list # You should get URLs here
doctl apps spec get <app-id> # Get yaml (including env vars, might be encrypted)
doctl apps logs <app-id> # Get HTTP logs
doctl apps list-alerts <app-id> # Get alerts
doctl apps list-regions # Get available regions and the default one

Apps haben keinen Metadaten-Endpunkt

RCE & Verschlüsselte Umgebungsvariablen

Um Code direkt im Container auszuführen, der die App ausführt, benötigen Sie Zugriff auf die Konsole und gehen zu https://cloud.digitalocean.com/apps/<app-id>/console/<app-name>.

Das gibt Ihnen eine Shell, und durch die Ausführung von env können Sie alle Umgebungsvariablen sehen (einschließlich der als verschlüsselt definierten).