GCP - App Engine Post Exploitation
App Engine
App EngineДля отримання інформації про App Engine перегляньте:
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flushЗ цими дозволами можливо:
Додати ключ
Переглянути ключі
Отримати ключ
Видалити
Однак, я не зміг знайти жодного способу отримати цю інформацію з cli, лише з веб-консолі, де потрібно знати Тип ключа та Ім'я ключа, або з додатку, що працює на app engine.
Якщо ви знаєте простіші способи використання цих дозволів, надішліть Pull Request!
logging.views.access
logging.views.accessЗ цим дозволом можливо переглядати журнали додатку:
Читання вихідного коду
Вихідний код усіх версій і сервісів зберігається в бакеті з назвою staging.<proj-id>.appspot.com. Якщо у вас є доступ на запис, ви можете читати вихідний код і шукати вразливості та чутливу інформацію.
Модифікація вихідного коду
Модифікуйте вихідний код, щоб вкрасти облікові дані, якщо вони надсилаються, або здійснити атаку на веб-сайт.
Last updated
