Polish - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - API Keys Enum

Dowiedz się, jak hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Podstawowe informacje

W Google Cloud Platform (GCP) klucze API to proste zaszyfrowane ciągi znaków, które identyfikują aplikację bez żadnego podmiotu. Służą one do dostępu do interfejsów API Google Cloud, które nie wymagają kontekstu użytkownika. Oznacza to, że są często używane w scenariuszach, w których aplikacja uzyskuje dostęp do swoich własnych danych, a nie danych użytkownika.

Ograniczenia

Możesz nakładać ograniczenia na klucze API w celu zwiększenia bezpieczeństwa. Na przykład, możesz ograniczyć klucz do używania tylko przez określone adresy IP, strony internetowe, aplikacje na Androida, aplikacje na iOS lub ograniczyć go do określonych interfejsów API lub usług w ramach GCP.

Wyliczanie

Możliwe jest sprawdzenie ograniczeń klucza API (w tym ograniczeń punktów końcowych interfejsu API GCP) za pomocą listy czasowników lub opisu:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

Możliwe jest odzyskanie usuniętych kluczy przed upływem 30 dni, dlatego można wyświetlić usunięte klucze.

Eskalacja uprawnień i wykorzystanie po eksploatacji

pageGCP - Apikeys Privesc

Nieuwierzytelniona enumeracja

pageGCP - API Keys Unauthenticated Enum

Trwałość

pageGCP - API Keys Persistence
Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

PreviousGCP - AI Platform EnumNextGCP - App Engine Enum

Last updated