GCP - App Engine Post Exploitation
App Engine
App EnginePara información sobre App Engine revisa:
GCP - App Engine Enumappengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flushCon estos permisos es posible:
Añadir una clave
Listar claves
Obtener una clave
Eliminar
Sin embargo, no pude encontrar ninguna forma de acceder a esta información desde la cli, solo desde la consola web donde necesitas conocer el tipo de clave y el nombre de la clave, o desde la app en ejecución de app engine.
¡Si conoces formas más fáciles de usar estos permisos, envía una Pull Request!
logging.views.access
logging.views.accessCon este permiso es posible ver los logs de la App:
Leer Código Fuente
El código fuente de todas las versiones y servicios está almacenado en el bucket con el nombre staging.<proj-id>.appspot.com. Si tienes acceso de escritura sobre él, puedes leer el código fuente y buscar vulnerabilidades e información sensible.
Modificar Código Fuente
Modifica el código fuente para robar credenciales si se están enviando o realizar un ataque de desfiguración web.
Last updated
