GCP - App Engine Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
App Engine
Per informazioni su App Engine controlla:
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
Con questi permessi è possibile:
Aggiungere una chiave
Elencare le chiavi
Ottenere una chiave
Eliminare
Tuttavia, non sono riuscito a trovare alcun modo per accedere a queste informazioni dalla cli, solo dalla console web dove è necessario conoscere il Tipo di chiave e il Nome della chiave, o dall'app in esecuzione dell'app engine.
Se conosci modi più semplici per utilizzare questi permessi invia una Pull Request!
logging.views.access
Con questo permesso è possibile vedere i log dell'App:
Il codice sorgente di tutte le versioni e servizi è memorizzato nel bucket con il nome staging.<proj-id>.appspot.com
. Se hai accesso in scrittura, puoi leggere il codice sorgente e cercare vulnerabilità e informazioni sensibili.
Modifica il codice sorgente per rubare credenziali se vengono inviate o eseguire un attacco di defacement web.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)