GCP - API Keys Enum

Aprende y practica Hacking en AWS: HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)

Apoya a HackTricks

¡Consulta los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

Información Básica

En Google Cloud Platform (GCP), las claves de API son una cadena cifrada simple que identifica una aplicación sin ningún principal. Se utilizan para acceder a las API de Google Cloud que no requieren contexto de usuario. Esto significa que a menudo se utilizan en escenarios donde la aplicación está accediendo a sus propios datos en lugar de datos de usuario.

Restricciones

Puedes aplicar restricciones a las claves de API para una seguridad mejorada. Por ejemplo, puedes restringir la clave para que se utilice solo por ciertas direcciones IP, sitios web, aplicaciones de Android, aplicaciones de iOS, o restringirla a ciertas API o servicios dentro de GCP.

Enumeración

Es posible ver la restricción de una clave de API (incluida la restricción de puntos finales de API de GCP) utilizando la lista de verbos o describe:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

Es posible recuperar claves eliminadas antes de que pasen 30 días, por eso puedes listar las claves eliminadas.

Apoya a HackTricks

Revisa los planes de suscripción!
Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @hacktricks_live.
Comparte trucos de hacking enviando PRs a los repositorios de HackTricks y HackTricks Cloud.

PreviousGCP - AI Platform Enum NextGCP - App Engine Enum

Last updated 1 month ago

Información Básica

Restricciones

Enumeración

Escalada de Privilegios y Post Explotación

Enumeración sin Autenticación

Persistencia