GCP - App Engine Post Exploitation
App Engine
App Engine
Para información sobre App Engine consulta:
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
Con estos permisos es posible:
Agregar una clave
Listar claves
Obtener una clave
Eliminar
Sin embargo, no pude encontrar ninguna manera de acceder a esta información desde la cli, solo desde la consola web donde necesitas conocer el tipo de clave y el nombre de clave, o desde la aplicación en ejecución de app engine.
Si conoces formas más fáciles de usar estos permisos, ¡envía una Pull Request!
logging.views.access
logging.views.access
Con este permiso es posible ver los registros de la App:
Leer Código Fuente
El código fuente de todas las versiones y servicios está almacenado en el bucket con el nombre staging.<proj-id>.appspot.com
. Si tienes acceso de escritura sobre él, puedes leer el código fuente y buscar vulnerabilidades e información sensible.
Modificar Código Fuente
Modifica el código fuente para robar credenciales si se están enviando o realizar un ataque de desfiguración web.
Last updated