GCP - App Engine Post Exploitation
App Engine
App Engine
Para informações sobre o App Engine, verifique:
pageGCP - App Engine Enumappengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
appengine.memcache.addKey
| appengine.memcache.list
| appengine.memcache.getKey
| appengine.memcache.flush
Com essas permissões, é possível:
Adicionar uma chave
Listar chaves
Obter uma chave
Excluir
No entanto, eu não consegui encontrar nenhuma maneira de acessar essas informações pelo cli, apenas pelo console web onde você precisa saber o tipo de chave e o nome da chave, ou do aplicativo em execução no app engine.
Se você conhece maneiras mais fáceis de usar essas permissões, envie um Pull Request!
logging.views.access
logging.views.access
Com essa permissão, é possível ver os logs do App:
Ler Código Fonte
O código fonte de todas as versões e serviços é armazenado no bucket com o nome staging.<proj-id>.appspot.com
. Se você tiver acesso de escrita sobre ele, poderá ler o código fonte e procurar por vulnerabilidades e informações sensíveis.
Modificar Código Fonte
Modificar o código fonte para roubar credenciais se estiverem sendo enviadas ou realizar um ataque de desfiguração web.
Última actualización