GCP - App Engine Post Exploitation
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
App Engine
App Engine에 대한 정보는 다음을 확인하세요:
GCP - App Engine Enumappengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
이 권한으로 할 수 있는 것:
키 추가
키 목록
키 가져오기
삭제
하지만, cli에서 이 정보를 접근할 방법을 찾을 수 없었습니다, 오직 웹 콘솔에서 Key type과 Key name을 알아야 하며, app engine이 실행 중인 앱에서만 가능합니다.
이 권한을 사용하는 더 쉬운 방법을 알고 있다면 Pull Request를 보내주세요!
logging.views.access
이 권한으로 앱의 로그를 볼 수 있습니다:
모든 버전과 서비스의 소스 코드는 **staging.<proj-id>.appspot.com
**이라는 이름의 버킷에 저장되어 있습니다. 해당 버킷에 대한 쓰기 권한이 있으면 소스 코드를 읽고 취약점 및 민감한 정보를 검색할 수 있습니다.
자격 증명이 전송되고 있는 경우 이를 훔치기 위해 소스 코드를 수정하거나 웹 공격을 수행합니다.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)