GCP - App Engine Post Exploitation
App Engine
App EnginePour des informations sur App Engine, consultez :
GCP - App Engine Enumappengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flushAvec ces permissions, il est possible de :
Ajouter une clé
Lister les clés
Obtenir une clé
Supprimer
Cependant, je n'ai trouvé aucun moyen d'accéder à ces informations depuis le cli, seulement depuis la console web où vous devez connaître le type de clé et le nom de la clé, ou depuis l'application en cours d'exécution sur App Engine.
Si vous connaissez des moyens plus simples d'utiliser ces permissions, envoyez une Pull Request !
logging.views.access
logging.views.accessAvec cette permission, il est possible de voir les journaux de l'application :
Lire le Code Source
Le code source de toutes les versions et services est stocké dans le bucket avec le nom staging.<proj-id>.appspot.com. Si vous avez un accès en écriture, vous pouvez lire le code source et rechercher des vulnérabilités et des informations sensibles.
Modifier le Code Source
Modifiez le code source pour voler des identifiants s'ils sont envoyés ou effectuer une attaque de défiguration de site web.
Last updated
