GCP - API Keys Unauthenticated Enum

Jifunze kuhusu udukuzi wa AWS kutoka mwanzo hadi mtaalamu na htARTE (Mtaalamu wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa NFTs ya kipekee
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au nifuata kwenye Twitter 🐦 @carlospolopm.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

API Keys

Kwa habari zaidi kuhusu API Keys angalia:

pageGCP - API Keys Enum

Mbinu za OSINT

Google API Keys hutumiwa sana na aina yoyote ya programu inayotumia upande wa mteja. Ni kawaida kuzipata kwenye msimbo wa chanzo wa tovuti au ombi za mtandao, kwenye programu za simu au tu kwa kutafuta regexes kwenye majukwaa kama Github.

Regex ni: AIza[0-9A-Za-z_-]{35}

Tafuta kwa mfano kwenye Github kufuata: https://github.com/search?q=%2FAIza%5B0-9A-Za-z_-%5D%7B35%7D%2F&type=code&ref=advsearch

Angalia asili ya mradi wa GCP - `apikeys.keys.lookup`

Hii ni muhimu sana kuchunguza mradi wa GCP ambao funguo ya API uliyoipata inamilikiwa:

# If you have permissions
gcloud services api-keys lookup AIzaSyD[...]uE8Y
name: projects/5[...]6/locations/global/keys/28d[...]e0e
parent: projects/5[...]6/locations/global

# If you don't, you can still see the project ID in the error msg
gcloud services api-keys lookup AIzaSy[...]Qbkd_oYE
ERROR: (gcloud.services.api-keys.lookup) PERMISSION_DENIED: Permission 'apikeys.keys.lookup' denied on resource project.
Help Token: ARD_zUaNgNilGTg9oYUnMhfa3foMvL7qspRpBJ-YZog8RLbTjCTBolt_WjQQ3myTaOqu4VnPc5IbA6JrQN83CkGH6nNLum6wS4j1HF_7HiCUBHVN
- '@type': type.googleapis.com/google.rpc.PreconditionFailure
violations:
- subject: ?error_code=110002&service=cloudresourcemanager.googleapis.com&permission=serviceusage.apiKeys.getProjectForKey&resource=projects/89123452509
type: googleapis.com
- '@type': type.googleapis.com/google.rpc.ErrorInfo
domain: apikeys.googleapis.com
metadata:
permission: serviceusage.apiKeys.getProjectForKey
resource: projects/89123452509
service: cloudresourcemanager.googleapis.com
reason: AUTH_PERMISSION_DENIED

Jaribio la Kishindo la Mipaka ya API

Kwa kuwa huenda usijue ni APIs zipi zimeamilishwa katika mradi, itakuwa ya kuvutia kukimbia zana https://github.com/ozguralp/gmapsapiscanner na kuchunguza kile unaweza kufikia kwa ufunguo wa API.

PreviousGCP - Unauthenticated Enum & Access NextGCP - App Engine Unauthenticated Enum

Last updated 2 months ago

API Keys

Mbinu za OSINT

Angalia asili ya mradi wa GCP - apikeys.keys.lookup

Jaribio la Kishindo la Mipaka ya API

Angalia asili ya mradi wa GCP - `apikeys.keys.lookup`