GCP - App Engine Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
App Engine
Pour des informations sur App Engine, consultez :
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
Avec ces permissions, il est possible de :
Ajouter une clé
Lister les clés
Obtenir une clé
Supprimer
Cependant, je n'ai trouvé aucun moyen d'accéder à ces informations depuis le cli, seulement depuis la console web où vous devez connaître le type de clé et le nom de clé, ou depuis l'application en cours d'exécution sur l'app engine.
Si vous connaissez des moyens plus simples d'utiliser ces permissions, envoyez une Pull Request !
logging.views.access
Avec cette permission, il est possible de voir les journaux de l'App :
Le code source de toutes les versions et services est stocké dans le bucket nommé staging.<proj-id>.appspot.com
. Si vous avez un accès en écriture, vous pouvez lire le code source et rechercher des vulnérabilités et des informations sensibles.
Modifiez le code source pour voler des identifiants s'ils sont envoyés ou effectuer une attaque de défiguration web.
Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)