GCP - App Engine Post Exploitation
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
App Engine
Für Informationen über App Engine siehe:
GCP - App Engine Enumappengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
Mit diesen Berechtigungen ist es möglich zu:
Einen Schlüssel hinzufügen
Schlüssel auflisten
Einen Schlüssel abrufen
Löschen
Ich konnte jedoch keinen Weg finden, um auf diese Informationen über die CLI zuzugreifen, nur über die Webkonsole, wo du den Schlüsseltyp und den Schlüsselname wissen musst, oder von der App, die auf der App Engine läuft.
Wenn du einfachere Möglichkeiten kennst, diese Berechtigungen zu nutzen, sende einen Pull Request!
logging.views.access
Mit dieser Berechtigung ist es möglich, die Protokolle der App zu sehen:
Der Quellcode aller Versionen und Dienste wird im Bucket mit dem Namen staging.<proj-id>.appspot.com
gespeichert. Wenn Sie Schreibzugriff darauf haben, können Sie den Quellcode lesen und nach Schwachstellen und sensiblen Informationen suchen.
Ändern Sie den Quellcode, um Anmeldeinformationen zu stehlen, wenn diese gesendet werden, oder führen Sie einen Defacement-Webangriff durch.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)