GCP - App Engine Post Exploitation

AWS Hacking सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE)

HackTricks को समर्थन दें

subscription plans देखें!
💬 Discord group या telegram group में शामिल हों या हमें Twitter 🐦 पर फॉलो करें @hacktricks_live.
PRs सबमिट करके हैकिंग ट्रिक्स साझा करें HackTricks और HackTricks Cloud github repos में।

`App Engine`

App Engine के बारे में जानकारी के लिए देखें:

GCP - App Engine Enum

`appengine.memcache.addKey` | `appengine.memcache.list` | `appengine.memcache.getKey` | `appengine.memcache.flush`

इन permissions के साथ आप कर सकते हैं:

एक key जोड़ें
keys की सूची बनाएं
एक key प्राप्त करें
Delete

हालांकि, मैं किसी भी तरीके से इस जानकारी को cli से एक्सेस करने का तरीका नहीं ढूंढ सका, केवल web console से जहां आपको Key type और Key name जानना आवश्यक है, या app engine running app से।

यदि आप इन permissions का उपयोग करने के आसान तरीके जानते हैं तो एक Pull Request भेजें!

`logging.views.access`

इस permission के साथ आप App के logs देख सकते हैं:

gcloud app logs tail -s <name>

स्रोत कोड पढ़ें

सभी संस्करणों और सेवाओं का स्रोत कोड बकेट में संग्रहीत होता है जिसका नाम staging.<proj-id>.appspot.com है। यदि आपके पास इस पर लिखने की अनुमति है तो आप स्रोत कोड पढ़ सकते हैं और कमजोरियों और संवेदनशील जानकारी की खोज कर सकते हैं।

स्रोत कोड संशोधित करें

स्रोत कोड को संशोधित करें ताकि यदि क्रेडेंशियल्स भेजे जा रहे हों तो उन्हें चुरा सकें या एक वेब डिफेसमेंट हमला कर सकें।

HackTricks को समर्थन दें

सदस्यता योजनाओं की जाँच करें!
शामिल हों 💬 Discord समूह या telegram समूह या हमें Twitter 🐦 पर फॉलो करें @hacktricks_live.
हैकिंग ट्रिक्स साझा करें HackTricks और HackTricks Cloud github repos में PRs सबमिट करके।

PreviousGCP - Post Exploitation NextGCP - Artifact Registry Post Exploitation

Last updated 1 month ago