German - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - App Engine Post Exploitation

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

App Engine

Für Informationen zu App Engine siehe:

pageGCP - App Engine Enum

appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush

Mit diesen Berechtigungen ist es möglich:

  • Einen Schlüssel hinzuzufügen

  • Schlüssel auflisten

  • Einen Schlüssel abrufen

  • Löschen

Jedoch konnte ich keinen Weg finden, um auf diese Informationen über die Befehlszeile zuzugreifen, nur über die Webkonsole, wo Sie den Schlüsseltyp und den Schlüsselnamen kennen müssen, oder von der App Engine laufenden App.

Wenn Sie einfachere Möglichkeiten kennen, diese Berechtigungen zu nutzen, senden Sie einen Pull-Request!

logging.views.access

Mit dieser Berechtigung ist es möglich, die Protokolle der App zu sehen:

gcloud app logs tail -s <name>

Quellcode lesen

Der Quellcode aller Versionen und Dienste wird im Bucket mit dem Namen staging.<proj-id>.appspot.com gespeichert. Wenn Sie Schreibzugriff darauf haben, können Sie den Quellcode lesen und nach Schwachstellen und sensiblen Informationen suchen.

Quellcode ändern

Ändern Sie den Quellcode, um Anmeldeinformationen zu stehlen, wenn sie gesendet werden, oder führen Sie einen Defacement-Webangriff durch.

Erfahren Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

PreviousGCP - Post ExploitationNextGCP - Artifact Registry Post Exploitation

Last updated