GCP - App Engine Post Exploitation
App Engine
App Engine
Per informazioni su App Engine controlla:
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
Con queste autorizzazioni è possibile:
Aggiungere una chiave
Elenca le chiavi
Ottenere una chiave
Elimina
Tuttavia, non ho trovato alcun modo per accedere a queste informazioni dalla riga di comando, solo dalla console web dove è necessario conoscere il tipo di chiave e il nome della chiave, o dall'applicazione in esecuzione su app engine.
Se conosci modi più semplici per utilizzare queste autorizzazioni invia una Pull Request!
logging.views.access
logging.views.access
Con questa autorizzazione è possibile vedere i log dell'App:
Leggi il Codice Sorgente
Il codice sorgente di tutte le versioni e servizi è archiviato nel bucket con il nome staging.<proj-id>.appspot.com
. Se hai accesso in scrittura, puoi leggere il codice sorgente e cercare vulnerabilità e informazioni sensibili.
Modifica il Codice Sorgente
Modifica il codice sorgente per rubare credenziali se vengono inviate o per eseguire un attacco di defacement web.
Last updated