GCP - App Engine Post Exploitation
App Engine
App Engine
Para obtener información sobre App Engine, consulta:
pageGCP - App Engine Enumappengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
Con estos permisos es posible:
Agregar una clave
Listar claves
Obtener una clave
Eliminar
Sin embargo, no pude encontrar ninguna forma de acceder a esta información desde la línea de comandos, solo desde la consola web donde necesitas conocer el tipo de clave y el nombre de la clave, o desde la aplicación en ejecución de app engine.
¡Si conoces formas más sencillas de usar estos permisos, envía un Pull Request!
logging.views.access
logging.views.access
Con este permiso es posible ver los registros de la App:
Leer Código Fuente
El código fuente de todas las versiones y servicios se almacena en el bucket con el nombre staging.<proj-id>.appspot.com
. Si tienes acceso de escritura sobre él, puedes leer el código fuente y buscar vulnerabilidades e información sensible.
Modificar Código Fuente
Modificar el código fuente para robar credenciales si se están enviando o realizar un ataque de desfiguración web.
Última actualización