GCP - App Engine Post Exploitation

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
हमारे विशेष NFTs कलेक्शन, The PEASS Family खोजें
जुड़ें 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह में या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें और PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।

`App Engine`

App Engine के बारे में जानकारी के लिए देखें:

pageGCP - App Engine Enum

`appengine.memcache.addKey` | `appengine.memcache.list` | `appengine.memcache.getKey` | `appengine.memcache.flush`

इन अनुमतियों के साथ निम्नलिखित संभव है:

एक कुंजी जोड़ें
कुंजियों की सूची
एक कुंजी प्राप्त करें
हटाएं

हालांकि, मैंने क्लाइंट से इस सूचना तक पहुंचने का कोई तरीका नहीं ढूंढा, केवल वेब कंसोल से जहां आपको कुंजी प्रकार और कुंजी नाम पता होना चाहिए, या एप्प इंजन चल रहे ऐप से।

यदि आपको इन अनुमतियों का उपयोग करने के और सरल तरीके पता है तो एक पुल अनुरोध भेजें!

`logging.views.access`

इस अनुमति के साथ एप्लिकेशन के लॉग देखने की संभावना है:

gcloud app logs tail -s <name>

प्रारंभिक कोड पढ़ें

सभी संस्करणों और सेवाओं का स्रोत कोड बकेट में संग्रहित है जिसका नाम staging.<proj-id>.appspot.com है। यदि आपके पास इस पर लेखन अधिकार हैं तो आप स्रोत कोड पढ़ सकते हैं और सुरक्षा दोष और संवेदनशील जानकारी के लिए खोज कर सकते हैं।

स्रोत कोड संशोधित करें

स्रोत कोड में परिवर्तन करें ताकि क्रेडेंशियल चोरी कर सकें अगर वे भेजे जा रहे हैं या डिफेसमेंट वेब हमला कर सकें।

PreviousGCP - Post Exploitation NextGCP - Artifact Registry Post Exploitation

Last updated 3 months ago