GCP - Apikeys Privesc
Last updated
Last updated
Οι παρακάτω άδειες είναι χρήσιμες για τη δημιουργία και την κλοπή κλειδιών API, όχι αυτών που περιγράφονται στα έγγραφα: Ένα κλειδί API είναι ένα απλό κρυπτογραφημένο αλφαριθμητικό που αναγνωρίζει μια εφαρμογή χωρίς κανέναν αρχηγό. Είναι χρήσιμα για την πρόσβαση σε δημόσια δεδομένα ανώνυμα και χρησιμοποιούνται για να συσχετίσουν τα αιτήματα API με το έργο σας για ποσοστό και χρέωση.
Συνεπώς, με ένα κλειδί API μπορείτε να κάνετε την εταιρεία να πληρώσει για τη χρήση του API, αλλά δεν θα μπορείτε να ανεβάσετε τα προνόμια.
Για περισσότερες πληροφορίες σχετικά με τα κλειδιά API, ελέγξτε:
Για άλλους τρόπους δημιουργίας κλειδιών API, ελέγξτε:
Καθώς μπορεί να μην γνωρίζετε ποια APIs είναι ενεργοποιημένα στο έργο ή ποιοι περιορισμοί έχουν επιβληθεί στο κλειδί API που βρήκατε, θα ήταν ενδιαφέρον να εκτελέσετε το εργαλείο https://github.com/ozguralp/gmapsapiscanner και να ελέγξετε τι μπορείτε να αποκτήσετε πρόσβαση με το κλειδί API.
apikeys.keys.create
Αυτή η άδεια επιτρέπει τη δημιουργία ενός κλειδιού API:
Μπορείτε να βρείτε ένα σενάριο για την αυτοματοποίηση της δημιουργίας, εκμετάλλευσης και καθαρισμού ενός ευπάθους περιβάλλοντος εδώ.
Σημειώστε ότι από προεπιλογή οι χρήστες έχουν δικαιώματα για τη δημιουργία νέων έργων και τους ανατίθεται ο ρόλος Κάτοχος στο νέο έργο. Έτσι, ένας χρήστης μπορεί να δημιουργήσει ένα έργο και ένα κλειδί API μέσα σε αυτό το έργο.
apikeys.keys.getKeyString
, apikeys.keys.list
Αυτές οι άδειες επιτρέπουν την λίστα και την ανάκτηση όλων των κλειδιών API και την ανάκτηση του κλειδιού.
Μπορείτε να βρείτε ένα σενάριο για την αυτοματοποίηση της δημιουργίας, εκμετάλλευσης και καθαρισμού ενός ευπάθους περιβάλλοντος εδώ.
apikeys.keys.undelete
, apikeys.keys.list
Αυτές οι άδειες σας επιτρέπουν να καταλογογραφήσετε και να αναγεννήσετε διαγραμμένα κλειδιά API. Το κλειδί API δίνεται στην έξοδο μετά την ολοκλήρωση της εντολής undelete:
Ελέγξτε την ακόλουθη σελίδα για να μάθετε πώς να το κάνετε αυτό, αν και αυτή η ενέργεια ανήκει στην υπηρεσία clientauthconfig
σύμφωνα με τα έγγραφα: