GCP - API Keys Enum

Μάθετε το χάκινγκ του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Βασικές Πληροφορίες

Στην Google Cloud Platform (GCP), τα κλειδιά API είναι ένα απλό κρυπτογραφημένο συμβολοσειρά που αναγνωρίζει μια εφαρμογή χωρίς κανέναν αρχηγό. Χρησιμοποιούνται για να έχουν πρόσβαση στα API της Google Cloud που δεν απαιτούν πλαίσιο χρήστη. Αυτό σημαίνει ότι συχνά χρησιμοποιούνται σε περιπτώσεις όπου η εφαρμογή έχει πρόσβαση στα δικά της δεδομένα αντί για δεδομένα χρήστη.

Περιορισμοί

Μπορείτε να εφαρμόσετε περιορισμούς στα κλειδιά API για ενισχυμένη ασφάλεια. Για παράδειγμα, μπορείτε να περιορίσετε το κλειδί να χρησιμοποιείται μόνο από συγκεκριμένες διευθύνσεις IP, ιστότοπους, εφαρμογές Android, εφαρμογές iOS, ή να το περιορίσετε σε συγκεκριμένα API ή υπηρεσίες εντός της GCP.

Απαρίθμηση

Είναι δυνατόν να δείτε τον περιορισμό ενός κλειδιού API (συμπεριλαμβανομένου του περιορισμού των σημείων άκρων του GCP API) χρησιμοποιώντας τη λίστα ή την περιγραφή των ρημάτων:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

Είναι δυνατόν να ανακτηθούν διαγραμμένα κλειδιά πριν περάσουν 30 ημέρες, γι' αυτό μπορείτε να καταλογίσετε τα διαγραμμένα κλειδιά.

Ανέβασμα Προνομιακών Δικαιωμάτων & Μετά Εκμετάλλευση

GCP - Apikeys Privesc

Ανεξουσιοδότητη Απαρίθμηση

GCP - API Keys Unauthenticated Enum

Διατήρηση

GCP - API Keys Persistence
Μάθετε το hacking του AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Last updated