GCP - App Engine Post Exploitation
Last updated
Last updated
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する: HackTricks Training GCP Red Team Expert (GRTE)
App Engine
App Engineに関する情報は次を確認してください:
GCP - App Engine Enumappengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
これらの権限を使用すると、次のことが可能です:
キーを追加
キーをリスト
キーを取得
削除
ただし、CLIからこの情報にアクセスする方法は見つかりませんでした。Webコンソールからのみアクセス可能で、キータイプとキー名を知っている必要があります。または、アプリエンジンで実行中のアプリからです。
これらの権限を使用する簡単な方法を知っている場合は、プルリクエストを送信してください!
logging.views.access
この権限を使用すると、アプリのログを見ることができます:
すべてのバージョンとサービスのソースコードは、staging.<proj-id>.appspot.com
という名前のバケットに保存されています。書き込みアクセス権がある場合、ソースコードを読み取り、脆弱性や機密情報を検索できます。
資格情報が送信されている場合はそれを盗むためにソースコードを変更するか、デフェースメントウェブ攻撃を実行します。
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)