HackTricks CloudGCP - Serviceusage Privesc
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Υποστηρίξτε το HackTricks
- Δείτε τα subscription plans!
- Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.
serviceusage
Οι ακόλουθες άδειες είναι χρήσιμες για τη δημιουργία και κλοπή API keys — σημείωση από τα docs: An API key is a simple encrypted string that identifies an application without any principal. They are useful for accessing δημόσια δεδομένα ανώνυμα, and are used to associate API requests with your project for quota and billing.
Επομένως, με ένα API key μπορείτε να κάνετε την εταιρεία να πληρώσει για τη χρήση του API, αλλά δεν θα μπορείτε να escalate privileges.
Για να μάθετε άλλες άδειες και τρόπους δημιουργίας API keys δείτε:
serviceusage.apiKeys.create
Βρέθηκε ένα μη τεκμηριωμένο API που μπορεί να χρησιμοποιηθεί για να δημιουργήσει API keys:
Δημιουργία API key χρησιμοποιώντας μη τεκμηριωμένο API
```bash curl -XPOST "https://apikeys.clients6.google.com/v1/projects/serviceusage.apiKeys.list
Βρέθηκε άλλο μη τεκμηριωμένο API για την εμφάνιση των API keys που έχουν ήδη δημιουργηθεί (τα API keys εμφανίζονται στην απόκριση):
Λίστα API keys χρησιμοποιώντας μη τεκμηριωμένο API
```bash curl "https://apikeys.clients6.google.com/v1/projects/serviceusage.services.enable , serviceusage.services.use
Με αυτές τις άδειες ένας attacker μπορεί να ενεργοποιήσει και να χρησιμοποιήσει νέα services στο project. Αυτό μπορεί να επιτρέψει σε attacker να ενεργοποιήσει υπηρεσία όπως admin ή cloudidentity για να προσπαθήσει να αποκτήσει πρόσβαση σε πληροφορίες του Workspace, ή άλλες υπηρεσίες για να αποκτήσει πρόσβαση σε ενδιαφέροντα δεδομένα.
Αναφορές
Υποστηρίξτε το HackTricks και κερδίστε προνόμια!
Εργάζεστε σε μια cybersecurity company; Θέλετε να δείτε την company advertised in HackTricks; ή θέλετε να έχετε πρόσβαση στην latest version of the PEASS or download HackTricks in PDF; Ελέγξτε τα SUBSCRIPTION PLANS!
Ανακαλύψτε The PEASS Family, τη συλλογή μας με αποκλειστικά NFTs
Αποκτήστε το official PEASS & HackTricks swag
Join the 💬 Discord group ή την telegram group ή ακολουθήστε με στο Twitter 🐦@carlospolopm.
Share your hacking tricks submitting PRs to the hacktricks github repo****
.
Tip
Μάθετε & εξασκηθείτε στο AWS Hacking:
Μάθετε & εξασκηθείτε στο GCP Hacking:
Μάθετε & εξασκηθείτε στο Az Hacking:Υποστηρίξτε το HackTricks
- Δείτε τα subscription plans!
- Εγγραφείτε στο 💬 Discord group ή την telegram group ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
- Μοιραστείτε τα hacking tricks υποβάλλοντας PRs στα HackTricks και HackTricks Cloud github repos.