Italian - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - Serviceusage Privesc

Supporta HackTricks

serviceusage

Le seguenti autorizzazioni sono utili per creare e rubare chiavi API, non quelle dai documenti: Una chiave API è una stringa crittografata semplice che identifica un'applicazione senza alcun principale. Sono utili per accedere ai dati pubblici in modo anonimo, e vengono utilizzate per associare le richieste API al tuo progetto per la quota e la fatturazione.

Pertanto, con una chiave API puoi fare in modo che l'azienda paghi per il tuo utilizzo dell'API, ma non sarai in grado di ottenere privilegi elevati.

Per apprendere altre autorizzazioni e modi per generare chiavi API, controlla:

GCP - Apikeys Privesc

serviceusage.apiKeys.create

È stata trovata un'API non documentata che può essere utilizzata per creare chiavi API:

curl -XPOST "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.services.enable , serviceusage.services.use

Con queste autorizzazioni un attaccante può abilitare e utilizzare nuovi servizi nel progetto. Ciò potrebbe consentire a un attaccante di abilitare servizi come admin o cloudidentity per cercare di accedere alle informazioni di Workspace, o ad altri servizi per accedere a dati interessanti.

Riferimenti

Supporta HackTricks e ottieni vantaggi!

Lavori in una azienda di sicurezza informatica? Vuoi vedere la tua azienda pubblicizzata in HackTricks? o vuoi avere accesso all'ultima versione del PEASS o scaricare HackTricks in PDF? Controlla i PIANI DI ABBONAMENTO!

Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi

Ottieni il PEASS ufficiale & HackTricks swag

Unisciti al 💬 gruppo Discord o al gruppo telegram o seguimi su Twitter 🐦@carlospolopm.

Condividi i tuoi trucchi di hacking inviando PR al repo github di hacktricks****

.

PreviousGCP - Secretmanager PrivescNextGCP - Sourcerepos Privesc

Last updated