GCP - Apikeys Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ruhusa zifuatazo ni muhimu kuunda na kuiba funguo za API, si hii kutoka kwa hati: Funguo za API ni mfuatano rahisi wa kusimbwa ambao unatambulisha programu bila ya msingi wowote. Zinatumika kwa kupata data za umma kwa siri, na zinatumika ku unganisha maombi ya API na mradi wako kwa ajili ya quota na kulipia.
Hivyo, kwa funguo za API unaweza kufanya kampuni hiyo ilipe kwa matumizi yako ya API, lakini huwezi kuongeza mamlaka.
Kwa maelezo zaidi kuhusu Funguo za API angalia:
Kwa njia nyingine za kuunda funguo za API angalia:
Kama hujui ni APIs zipi zimewezeshwa katika mradi au vizuizi vilivyowekwa kwa funguo za API ulizozipata, itakuwa ya kuvutia kuendesha chombo https://github.com/ozguralp/gmapsapiscanner na kuangalia kila unachoweza kufikia kwa funguo za API.
apikeys.keys.create
Ruhusa hii inaruhusu kuunda funguo za API:
You can find a script to automate the creation, exploit and cleaning of a vuln environment here.
Kumbuka kwamba kwa kawaida watumiaji wana ruhusa za kuunda miradi mipya na wanapewa jukumu la Mmiliki juu ya mradi mpya. Hivyo mtumiaji anaweza create a project and an API key inside this project.
apikeys.keys.getKeyString
, apikeys.keys.list
Ruhusa hizi zinaruhusu list and get all the apiKeys and get the Key:
You can find a script to automate the creation, exploit and cleaning of a vuln environment here.
apikeys.keys.undelete
, apikeys.keys.list
Hizi ruhusa zinakuruhusu orodhesha na kuunda upya funguo za api zilizofutwa. Funguo ya API inatolewa katika matokeo baada ya kuondoa kufanyika:
Angalia ukurasa ufuatao kujifunza jinsi ya kufanya hivi, ingawa hatua hii inahusiana na huduma clientauthconfig
kulingana na nyaraka:
Jifunze & fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze & fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)