GCP - Serviceusage Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ruhusa zifuatazo ni muhimu kuunda na kuiba funguo za API, si hii kutoka kwa nyaraka: Funguo za API ni mfuatano rahisi wa siri unao tambulisha programu bila kiongozi yeyote. Zinatumika kwa kupata data za umma kwa siri, na zinatumika ku unganisha maombi ya API na mradi wako kwa ajili ya quota na kodi.
Hivyo, kwa funguo za API unaweza kufanya kampuni hiyo ilipe kwa matumizi yako ya API, lakini huwezi kuongeza mamlaka.
Ili kujifunza ruhusa nyingine na njia za kuunda funguo za API angalia:
GCP - Apikeys Privescserviceusage.apiKeys.create
API isiyokuwa na nyaraka iligundulika ambayo inaweza kutumika ku unda funguo za API:
serviceusage.apiKeys.list
API nyingine isiyoandikwa iligundulika kwa ajili ya kuorodhesha funguo za API ambazo tayari zimeundwa (funguo za API zinaonekana katika jibu):
serviceusage.services.enable
, serviceusage.services.use
Kwa ruhusa hizi, mshambuliaji anaweza kuwezesha na kutumia huduma mpya katika mradi. Hii inaweza kumruhusu mshambuliaji kuwezesha huduma kama admin au cloudidentity kujaribu kufikia taarifa za Workspace, au huduma nyingine kufikia data ya kuvutia.