serviceusage

Następujące uprawnienia są przydatne do tworzenia i kradzieży kluczy API, nie tych z dokumentacji: Klucz API to prosty zaszyfrowany ciąg, który identyfikuje aplikację bez żadnego podmiotu. Są one przydatne do anonimowego dostępu do publicznych danych i służą do powiązania żądań API z projektem w celu kontroli limitów i rozliczeń.

Dlatego też, posiadając klucz API, możesz sprawić, że firma zapłaci za korzystanie z API, ale nie będziesz w stanie eskalować uprawnień.

Aby dowiedzieć się o innych uprawnieniach i sposobach generowania kluczy API, sprawdź:

serviceusage.apiKeys.create

Znaleziono nieudokumentowane API, które można użyć do tworzenia kluczy API:

curl -XPOST "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.apiKeys.list

Znaleziono kolejne nieudokumentowane API do wyświetlania już utworzonych kluczy API (klucze API pojawiają się w odpowiedzi):

curl "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"

serviceusage.services.enable, serviceusage.services.use

Z tymi uprawnieniami atakujący może włączać i używać nowych usług w projekcie. Może to umożliwić atakującemu włączenie usługi takiej jak admin lub cloudidentity, aby spróbować uzyskać dostęp do informacji o Workspace lub innych usług, aby uzyskać dostęp do interesujących danych.

Referencje

• https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/