GCP - API Keys Unauthenticated Enum

AWS हैकिंग सीखें शून्य से नायक तक htARTE (HackTricks AWS Red Team Expert)!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे या HackTricks को PDF में डाउनलोड करें, तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
The PEASS Family की खोज करें, हमारा विशेष NFTs संग्रह
💬 Discord group में शामिल हों या telegram group या Twitter पर 🐦 @carlospolopm को फॉलो करें.
HackTricks और HackTricks Cloud github repos में PRs सबमिट करके अपनी हैकिंग ट्रिक्स साझा करें।

API कुंजियाँ

API कुंजियों के बारे में अधिक जानकारी के लिए देखें:

OSINT तकनीकें

Google API कुंजियाँ व्यापक रूप से किसी भी प्रकार के अनुप्रयोगों द्वारा क्लाइंट साइड से उपयोग की जाती हैं। इन्हें वेबसाइट्स के सोर्स कोड या नेटवर्क अनुरोधों में, मोबाइल अनुप्रयोगों में या Github जैसे प्लेटफॉर्म्स पर regexes की खोज करते समय पाया जाना सामान्य है।

Regex है: AIza[0-9A-Za-z_-]{35}

उदाहरण के लिए Github पर इसे निम्नलिखित का अनुसरण करके खोजें: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch

मूल GCP प्रोजेक्ट की जांच करें - `apikeys.keys.lookup`

यह जांचने के लिए अत्यंत उपयोगी है कि आपके द्वारा पाई गई API कुंजी किस GCP प्रोजेक्ट से संबंधित है:

# If you have permissions
gcloud services api-keys lookup AIzaSyD[...]uE8Y
name: projects/5[...]6/locations/global/keys/28d[...]e0e
parent: projects/5[...]6/locations/global

# If you don't, you can still see the project ID in the error msg
gcloud services api-keys lookup AIzaSy[...]Qbkd_oYE
ERROR: (gcloud.services.api-keys.lookup) PERMISSION_DENIED: Permission 'apikeys.keys.lookup' denied on resource project.
Help Token: ARD_zUaNgNilGTg9oYUnMhfa3foMvL7qspRpBJ-YZog8RLbTjCTBolt_WjQQ3myTaOqu4VnPc5IbA6JrQN83CkGH6nNLum6wS4j1HF_7HiCUBHVN
- '@type': type.googleapis.com/google.rpc.PreconditionFailure
violations:
- subject: ?error_code=110002&service=cloudresourcemanager.googleapis.com&permission=serviceusage.apiKeys.getProjectForKey&resource=projects/89123452509
type: googleapis.com
- '@type': type.googleapis.com/google.rpc.ErrorInfo
domain: apikeys.googleapis.com
metadata:
permission: serviceusage.apiKeys.getProjectForKey
resource: projects/89123452509
service: cloudresourcemanager.googleapis.com
reason: AUTH_PERMISSION_DENIED

API एंडपॉइंट्स पर ब्रूट फोर्स

जैसा कि आपको पता नहीं हो सकता है कि प्रोजेक्ट में कौन सी APIs सक्षम हैं, इसलिए यह दिलचस्प होगा कि https://github.com/ozguralp/gmapsapiscanner टूल का उपयोग करके जांचें आप API की के साथ क्या एक्सेस कर सकते हैं।

AWS हैकिंग सीखें शून्य से लेकर हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप चाहते हैं कि आपकी कंपनी का विज्ञापन HackTricks में दिखाई दे या HackTricks को PDF में डाउनलोड करें तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
The PEASS Family की खोज करें, हमारा एक्सक्लूसिव NFTs का संग्रह
💬 Discord group में शामिल हों या telegram group में या Twitter पर मुझे 🐦 @carlospolopm का पालन करें।
अपनी हैकिंग ट्रिक्स साझा करें, HackTricks के github repos और HackTricks Cloud में PRs सबमिट करके।

PreviousGCP - Unauthenticated Enum & Access NextGCP - App Engine Unauthenticated Enum

Last updated 3 months ago