GCP - App Engine Post Exploitation
Last updated
Last updated
Aprenda e pratique Hacking AWS:HackTricks Treinamento AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Treinamento GCP Red Team Expert (GRTE)
App Engine
Para informações sobre o App Engine, confira:
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
Com essas permissões, é possível:
Adicionar uma chave
Listar chaves
Obter uma chave
Deletar
No entanto, eu não consegui encontrar nenhuma maneira de acessar essas informações pelo cli, apenas pela console web, onde você precisa saber o tipo de chave e o nome da chave, ou de um app engine em execução.
Se você conhece maneiras mais fáceis de usar essas permissões, envie um Pull Request!
logging.views.access
Com esta permissão, é possível ver os logs do App:
O código fonte de todas as versões e serviços está armazenado no bucket com o nome staging.<proj-id>.appspot.com
. Se você tiver acesso de escrita sobre ele, pode ler o código fonte e procurar por vulnerabilidades e informações sensíveis.
Modifique o código fonte para roubar credenciais se elas estiverem sendo enviadas ou realizar um ataque de defacement na web.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)