GCP - Serviceusage Privesc
Last updated
Last updated
Learn & practice AWS Hacking: Learn & practice GCP Hacking:
Наступні дозволи корисні для створення та крадіжки API ключів, зверніть увагу на це з документації: API ключ — це простий зашифрований рядок, який ідентифікує додаток без будь-якого принципала. Вони корисні для доступу до публічних даних анонімно і використовуються для асоціювання API запитів з вашим проектом для квоти та білінгу.
Отже, з API ключем ви можете змусити цю компанію платити за ваше використання API, але ви не зможете підвищити привілеї.
Щоб дізнатися про інші дозволи та способи генерації API ключів, перегляньте:
serviceusage.apiKeys.createБув знайдений не задокументований API, який можна використовувати для створення API ключів:
serviceusage.apiKeys.listБуло знайдено ще один не задокументований API для переліку API ключів, які вже були створені (API ключі з'являються у відповіді):
serviceusage.services.enable , serviceusage.services.useЗ цими дозволами зловмисник може активувати та використовувати нові сервіси в проекті. Це може дозволити зловмиснику активувати сервіси, такі як admin або cloudidentity, щоб спробувати отримати доступ до інформації Workspace або інших сервісів для доступу до цікавих даних.
Do you work in a cybersecurity company? Do you want to see your company advertised in HackTricks? or do you want to have access the latest version of the PEASS or download HackTricks in PDF? Check the !
Discover , our collection of exclusive
Get the
Join the or the or follow me on Twitter .
Share your hacking tricks submitting PRs to the ****
