GCP - API Keys Enum

Reading time: 3 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Grundinformationen

In Google Cloud Platform (GCP) sind API-Schlüssel eine einfache verschlüsselte Zeichenfolge, die eine Anwendung ohne jeglichen Principal identifiziert. Sie werden verwendet, um auf Google Cloud APIs zuzugreifen, die keinen Benutzerkontext erfordern. Das bedeutet, dass sie häufig in Szenarien verwendet werden, in denen die Anwendung auf ihre eigenen Daten anstatt auf Benutzerdaten zugreift.

Einschränkungen

Sie können Einschränkungen für API-Schlüssel anwenden, um die Sicherheit zu erhöhen. Zum Beispiel können Sie den Schlüssel so einschränken, dass er nur von bestimmten IP-Adressen, Webseiten, Android-Apps, iOS-Apps verwendet werden kann, oder ihn auf bestimmte APIs oder Dienste innerhalb von GCP beschränken.

Aufzählung

Es ist möglich, die Einschränkung eines API-Schlüssels zu sehen (einschließlich der Einschränkung von GCP API-Endpunkten) mit der Liste der Verben oder beschreiben:

bash
gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

note

Es ist möglich, gelöschte Schlüssel wiederherzustellen, bevor 30 Tage vergehen, weshalb Sie gelöschte Schlüssel auflisten können.

Privilegieneskalation & Nachausnutzung

GCP - Apikeys Privesc

Unauthentifizierte Enumeration

GCP - API Keys Unauthenticated Enum

Persistenz

GCP - API Keys Persistence

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks