GCP - API Keys Enum

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Temel Bilgiler

Google Cloud Platform (GCP) içinde API anahtarları, herhangi bir prensip olmadan bir uygulamayı tanımlayan basit bir şifrelenmiş dizedir. Kullanıcı bağlamı gerektirmeyen Google Cloud API'lerine erişmek için kullanılırlar. Bu, genellikle uygulamanın kullanıcı verileri yerine kendi verilerine eriştiği senaryolarda kullanılır.

Kısıtlamalar

API anahtarlarına gelişmiş güvenlik için kısıtlamalar uygulanabilir. Örneğin, anahtarın sadece belirli IP adresleri, web siteleri, Android uygulamaları, iOS uygulamaları tarafından kullanılmasını veya GCP içinde belirli API'ler veya hizmetlere erişimini kısıtlayabilirsiniz.

Enumerasyon

API anahtarının kısıtlamalarını (GCP API uç noktaları kısıtlaması dahil) görmek mümkündür. Bunun için fiil listesini veya açıklamayı kullanabilirsiniz:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

30 gün geçmeden silinen anahtarları kurtarmak mümkündür, bu yüzden silinen anahtarları listeleyebilirsiniz.

Ayrıcalık Yükseltme ve Saldırı Sonrası İşlemler

GCP - Apikeys Privesc

Kimlik Doğrulamasız Sorgulama

GCP - API Keys Unauthenticated Enum

Kalıcılık

GCP - API Keys Persistence
htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

Last updated