GCP - API Keys Enum

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstütze HackTricks

Grundinformationen

In Google Cloud Platform (GCP) sind API-Schlüssel eine einfache verschlüsselte Zeichenfolge, die eine Anwendung ohne jeglichen Principal identifiziert. Sie werden verwendet, um auf Google Cloud APIs zuzugreifen, die keinen Benutzerkontext erfordern. Das bedeutet, dass sie häufig in Szenarien verwendet werden, in denen die Anwendung auf ihre eigenen Daten anstatt auf Benutzerdaten zugreift.

Einschränkungen

Sie können Einschränkungen für API-Schlüssel anwenden, um die Sicherheit zu erhöhen. Zum Beispiel können Sie den Schlüssel so einschränken, dass er nur von bestimmten IP-Adressen, Webseiten, Android-Apps, iOS-Apps verwendet werden kann, oder ihn auf bestimmte APIs oder Dienste innerhalb von GCP beschränken.

Aufzählung

Es ist möglich, die Einschränkung eines API-Schlüssels zu sehen (einschließlich der Einschränkung von GCP API-Endpunkten) mit der Liste der Verben oder beschreiben:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

Note

Es ist möglich, gelöschte Schlüssel wiederherzustellen, bevor 30 Tage vergehen, weshalb Sie gelöschte Schlüssel auflisten können.

Privilegieneskalation & Nachausnutzung

GCP - Apikeys Privesc

Unauthentifizierte Enumeration

GCP - API Keys Unauthenticated Enum

Persistenz

GCP - API Keys Persistence

Tip

Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lerne & übe Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstütze HackTricks