GCP - API Keys Enum

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks

Basic Information

Στην Google Cloud Platform (GCP), τα API keys είναι μια απλή κρυπτογραφημένη αλφαριθμητική συμβολοσειρά που ταυτοποιεί μια εφαρμογή χωρίς κανένα principal. Χρησιμοποιούνται για πρόσβαση σε Google Cloud APIs που δεν απαιτούν το πλαίσιο χρήστη. Αυτό σημαίνει ότι συχνά χρησιμοποιούνται σε σενάρια όπου η εφαρμογή έχει πρόσβαση στα δικά της δεδομένα αντί για τα δεδομένα του χρήστη.

Restrictions

Μπορείτε να εφαρμόσετε περιορισμούς στα API keys για αυξημένη ασφάλεια. Για παράδειγμα, μπορείτε να περιορίσετε το κλειδί να χρησιμοποιείται μόνο από συγκεκριμένες διευθύνσεις IP, ιστότοπους, εφαρμογές android, εφαρμογές iOS, ή να το περιορίσετε σε ορισμένα APIs ή υπηρεσίες εντός του GCP.

Enumeration

Είναι δυνατόν να δείτε τον περιορισμό ενός API key (συμπεριλαμβανομένου του περιορισμού των GCP API endpoints) χρησιμοποιώντας τη λίστα ρημάτων ή την περιγραφή:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

Note

Είναι δυνατόν να ανακτηθούν διαγραμμένα κλειδιά πριν περάσουν 30 ημέρες, γι’ αυτό μπορείτε να καταγράψετε διαγραμμένα κλειδιά.

Privilege Escalation & Post Exploitation

GCP - Apikeys Privesc

Unauthenticated Enum

GCP - API Keys Unauthenticated Enum

Persistence

GCP - API Keys Persistence

Tip

Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Μάθετε & εξασκηθείτε στο Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Υποστηρίξτε το HackTricks