GCP - Source Repositories Enum

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Ekip Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Ekip Uzmanı (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
Bize katılın 💬 Discord grubuna veya telegram grubuna veya bizi Twitter 🐦 @hacktricks_live'da takip edin.
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Temel Bilgiler

Google Cloud Source Repositories, tam özellikli, ölçeklenebilir, özel bir Git depo hizmetidir. Kaynak kodunuzu tamamen yönetilen bir ortamda barındırmak için tasarlanmıştır ve diğer GCP araçları ve hizmetleriyle sorunsuz bir şekilde entegre olur. Ekiplerin kodlarını depolamak, yönetmek ve izlemek için işbirlikçi ve güvenli bir yer sunar.

Cloud Source Repositories'in ana özellikleri şunlardır:

Tam Yönetilen Git Barındırma: Git'in tanıdık işlevselliğini sunar, yani normal Git komutlarını ve iş akışlarını kullanabilirsiniz.
GCP Hizmetleri ile Entegrasyon: Koddan dağıtıma kadar uçtan uca izlenebilirlik için Cloud Build, Pub/Sub ve App Engine gibi diğer GCP hizmetleriyle entegre olur.
Özel Depolar: Kodunuzun güvenli ve özel bir şekilde depolandığından emin olur. Erişimi Cloud Identity ve Access Management (IAM) rolleri kullanarak kontrol edebilirsiniz.
Kaynak Kodu Analizi: Diğer GCP araçlarıyla çalışarak kaynak kodunuzun otomatik analizini sağlar, hatalar, güvenlik açıkları veya kötü kodlama uygulamaları gibi potansiyel sorunları tanımlar.
İşbirliği Araçları: Birleştirme talepleri, yorumlar ve incelemeler gibi araçlarla işbirlikçi kodlamayı destekler.
Aynalama Desteği: Cloud Source Repositories'i GitHub veya Bitbucket'ta barındırılan depolarla bağlamanıza olanak tanır, otomatik senkronizasyon sağlar ve tüm depolarınızın birleşik bir görünümünü sunar.

OffSec bilgileri

Bir projedeki kaynak depoları yapılandırması, Cloud Pub/Sub mesajlarını yayınlamak için kullanılan bir Hizmet Hesabı içerecektir. Kullanılan varsayılan Compute SA'dır. Ancak, kaynak depolarından token'ını çalmanın mümkün olduğunu düşünmüyorum çünkü arka planda çalıştırılıyor.
GCP Cloud Source Repositories web konsolundaki kodu görmek için, kodun varsayılan olarak ana dalda olması gerekir.
Ayrıca Github veya Bitbucket'taki bir depoya işaret eden bir ayna Cloud Repository oluşturabilirsiniz (bu platformlara erişim vererek).
GCP içinden kod yazmak ve hata ayıklamak mümkündür.
Varsayılan olarak, Source Repositories özel anahtarların commit'lerde itilmesini engeller, ancak bu devre dışı bırakılabilir.

Cloud Shell'de Aç

Depoyu Cloud Shell'de açmak mümkündür, bu gibi bir istemci görünecektir:

Bu, Cloud Shell'de kod yazmanıza ve hata ayıklamanıza olanak tanır (bu, cloudshell'in tehlikeye girmesine neden olabilir).

Sayım

# Repos enumeration
gcloud source repos list #Get names and URLs
gcloud source repos describe <repo_name>
gcloud source repos get-iam-policy <repo_name>

# gcloud repo clone
gcloud source repos clone <REPO NAME>
gcloud source repos get-iam-policy <REPO NAME>
... git add & git commit -m ...
git push --set-upstream origin master
git push -u origin master

# Access via git
## To add a SSH key go to https://source.cloud.google.com/user/ssh_keys (no gcloud command)
git clone ssh://username@domain.com@source.developers.google.com:2022/p/<proj-name>/r/<repo-name>
git add, commit, push...

Yetki Yükseltme & Sonrası İstismar

Kimlik Doğrulaması Olmadan Enum

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live'ı takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

PreviousGCP - Security Enum NextGCP - Spanner Enum

Last updated 3 days ago