Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Los siguientes permisos son útiles para crear y robar claves API, no esto de la documentación: Una clave API es una cadena encriptada simple que identifica una aplicación sin ningún principal. Son útiles para acceder a datos públicos de forma anónima, y se utilizan para asociar solicitudes API con tu proyecto para cuota y facturación.
Por lo tanto, con una clave API puedes hacer que esa empresa pague por tu uso de la API, pero no podrás escalar privilegios.
Para aprender sobre otros permisos y formas de generar claves API, consulta:
serviceusage.apiKeys.createSe encontró una API no documentada que se puede utilizar para crear claves API:
serviceusage.apiKeys.listSe encontró otra API no documentada para listar las claves de API que ya han sido creadas (las claves de API aparecen en la respuesta):
serviceusage.services.enable , serviceusage.services.useCon estos permisos, un atacante puede habilitar y usar nuevos servicios en el proyecto. Esto podría permitir a un atacante habilitar servicios como admin o cloudidentity para intentar acceder a la información de Workspace, o a otros servicios para acceder a datos interesantes.
