GCP - API Keys Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Grundinformationen

In der Google Cloud Platform (GCP) sind API-Schlüssel eine einfache verschlüsselte Zeichenfolge, die eine Anwendung ohne einen Principal identifiziert. Sie werden verwendet, um auf Google Cloud APIs zuzugreifen, die keinen Benutzerkontext erfordern. Das bedeutet, dass sie häufig in Szenarien verwendet werden, in denen die Anwendung auf ihre eigenen Daten anstatt auf Benutzerdaten zugreift.

Einschränkungen

Sie können Einschränkungen für API-Schlüssel anwenden, um die Sicherheit zu erhöhen. Zum Beispiel können Sie den Schlüssel so einschränken, dass er nur von bestimmten IP-Adressen, Webseiten, Android-Apps, iOS-Apps verwendet werden kann, oder ihn auf bestimmte APIs oder Dienste innerhalb von GCP beschränken.

Enumeration

Es ist möglich, die Einschränkung eines API-Schlüssels (einschließlich der Einschränkung von GCP API-Endpunkten) mit den Befehlen list oder describe zu sehen:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

Es ist möglich, gelöschte Schlüssel wiederherzustellen, bevor 30 Tage vergehen, deshalb kannst du gelöschte Schlüssel auflisten.

Unterstütze HackTricks

Überprüfe die Abonnementpläne!
Tritt der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folge uns auf Twitter 🐦 @hacktricks_live.
Teile Hacking-Tricks, indem du PRs an die HackTricks und HackTricks Cloud GitHub-Repos einreichst.

PreviousGCP - AI Platform Enum NextGCP - App Engine Enum

Last updated 1 month ago

Grundinformationen

Einschränkungen

Enumeration

Privilegieneskalation & Nachausnutzung

Unauthentifizierte Enumeration

Persistenz