HackTricks CloudGCP - API Keys Enum
Tip
Leer & oefen AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Leer & oefen GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Leer & oefen Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Ondersteun HackTricks
- Kyk na die subscription plans!
- Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.
Basiese Inligting
In Google Cloud Platform (GCP) is API sleutels ’n eenvoudige versleutelde string wat ’n toepassing sonder enige prinsiep identifiseer. Hulle word gebruik om toegang te verkry tot Google Cloud APIs wat nie gebruikerskonteks vereis nie. Dit beteken hulle word dikwels in scenario’s gebruik waar die toepassing toegang tot sy eie data verkry eerder as gebruikersdata.
Beperkings
Jy kan beperkings op API sleutels toepas vir verbeterde sekuriteit. Byvoorbeeld, jy kan die sleutel beperk om slegs deur sekere IP adresse, webwerwe, android toepassings, iOS toepassings gebruik te word, of dit beperk tot sekere APIs of dienste binne GCP.
Enumerasie
Dit is moontlik om die beperking van ’n API sleutel te sien (insluitend GCP API eindpunte beperking) deur die werkwoorde lys of beskryf:
gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted
Note
Dit is moontlik om verwyderde sleutels te herstel voordat 30 dae verstryk, daarom kan jy verwyderde sleutels lys.
Privilege Escalation & Post Exploitation
Unauthenticated Enum
GCP - API Keys Unauthenticated Enum
Persistence
Tip
Leer & oefen AWS Hacking:
Leer & oefen GCP Hacking:
Leer & oefen Az Hacking:Ondersteun HackTricks
- Kyk na die subscription plans!
- Sluit aan by die 💬 Discord group of die telegram group of volg ons op Twitter 🐦 @hacktricks_live.
- Deel hacking tricks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.