Português - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - App Engine Post Exploitation

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras formas de apoiar o HackTricks:

App Engine

Para informações sobre o App Engine, verifique:

pageGCP - App Engine Enum

appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush

Com essas permissões, é possível:

  • Adicionar uma chave

  • Listar chaves

  • Obter uma chave

  • Excluir

No entanto, eu não consegui encontrar nenhuma maneira de acessar essas informações pelo cli, apenas pelo console web onde você precisa saber o tipo de chave e o nome da chave, ou do aplicativo em execução no app engine.

Se você conhece maneiras mais fáceis de usar essas permissões, envie um Pull Request!

logging.views.access

Com essa permissão, é possível ver os logs do App:

gcloud app logs tail -s <name>

Ler Código Fonte

O código fonte de todas as versões e serviços é armazenado no bucket com o nome staging.<proj-id>.appspot.com. Se você tiver acesso de escrita sobre ele, poderá ler o código fonte e procurar por vulnerabilidades e informações sensíveis.

Modificar Código Fonte

Modificar o código fonte para roubar credenciais se estiverem sendo enviadas ou realizar um ataque de desfiguração web.

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

AnteriorGCP - Post ExploitationSiguienteGCP - Artifact Registry Post Exploitation

Última actualización