Français - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - App Engine Post Exploitation

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks :

App Engine

Pour des informations sur App Engine, consultez :

pageGCP - App Engine Enum

appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush

Avec ces autorisations, il est possible de :

  • Ajouter une clé

  • Lister les clés

  • Obtenir une clé

  • Supprimer

Cependant, je n'ai pas trouvé de moyen d'accéder à ces informations depuis la ligne de commande, seulement depuis la console web où vous devez connaître le type de clé et le nom de la clé, ou depuis une application en cours d'exécution sur App Engine.

Si vous connaissez des moyens plus simples d'utiliser ces autorisations, envoyez une Pull Request !

logging.views.access

Avec cette autorisation, il est possible de voir les journaux de l'App :

gcloud app logs tail -s <name>

Lire le Code Source

Le code source de toutes les versions et services est stocké dans le bucket avec le nom staging.<proj-id>.appspot.com. Si vous avez des droits d'écriture dessus, vous pouvez lire le code source et rechercher des vulnérabilités et des informations sensibles.

Modifier le Code Source

Modifier le code source pour voler des identifiants s'ils sont envoyés ou effectuer une attaque de défiguration web.

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert en équipe rouge AWS de HackTricks)!

Autres façons de soutenir HackTricks:

PrécédentGCP - Post ExploitationSuivantGCP - Artifact Registry Post Exploitation

Dernière mise à jour