Ukranian - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

GCP - App Engine Post Exploitation

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

App Engine

Для отримання інформації про App Engine перегляньте:

pageGCP - App Engine Enum

appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush

З цими дозволами можливо:

  • Додати ключ

  • Перелічити ключі

  • Отримати ключ

  • Видалити

Однак я не зміг знайти способу доступу до цієї інформації через cli, лише через веб-консоль, де потрібно знати тип ключа та ім'я ключа, або з запущеного додатку app engine.

Якщо ви знаєте простіші способи використання цих дозволів, надсилайте Pull Request!

logging.views.access

З цим дозволом можливо переглядати журнали App:

gcloud app logs tail -s <name>

Читання вихідного коду

Вихідний код всіх версій та служб зберігається в сховищі з назвою staging.<proj-id>.appspot.com. Якщо у вас є права на запис, ви можете прочитати вихідний код та шукати вразливості та чутливу інформацію.

Зміна вихідного коду

Змініть вихідний код, щоб вкрасти облікові дані, якщо вони надсилаються, або виконати атаку на дефейс веб-сайту.

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

PreviousGCP - Post ExploitationNextGCP - Artifact Registry Post Exploitation

Last updated