GCP - App Engine Post Exploitation
App Engine
App Engine
App Engine के बारे में जानकारी के लिए देखें:
pageGCP - App Engine Enumappengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
इन अनुमतियों के साथ निम्नलिखित संभव है:
एक कुंजी जोड़ें
कुंजियों की सूची
एक कुंजी प्राप्त करें
हटाएं
हालांकि, मैंने क्लाइंट से इस सूचना तक पहुंचने का कोई तरीका नहीं ढूंढा, केवल वेब कंसोल से जहां आपको कुंजी प्रकार और कुंजी नाम पता होना चाहिए, या एप्प इंजन चल रहे ऐप से।
यदि आपको इन अनुमतियों का उपयोग करने के और सरल तरीके पता है तो एक पुल अनुरोध भेजें!
logging.views.access
logging.views.access
इस अनुमति के साथ एप्लिकेशन के लॉग देखने की संभावना है:
प्रारंभिक कोड पढ़ें
सभी संस्करणों और सेवाओं का स्रोत कोड बकेट में संग्रहित है जिसका नाम staging.<proj-id>.appspot.com
है। यदि आपके पास इस पर लेखन अधिकार हैं तो आप स्रोत कोड पढ़ सकते हैं और सुरक्षा दोष और संवेदनशील जानकारी के लिए खोज कर सकते हैं।
स्रोत कोड संशोधित करें
स्रोत कोड में परिवर्तन करें ताकि क्रेडेंशियल चोरी कर सकें अगर वे भेजे जा रहे हैं या डिफेसमेंट वेब हमला कर सकें।
Last updated