DO - Apps

Reading time: 3 minutes

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks

Informations de base

Selon la documentation : App Platform est une offre de Platform-as-a-Service (PaaS) qui permet aux développeurs de publier du code directement sur les serveurs DigitalOcean sans se soucier de l'infrastructure sous-jacente.

Vous pouvez exécuter du code directement depuis github, gitlab, docker hub, DO container registry (ou une application d'exemple).

Lors de la définition d'une env var, vous pouvez la définir comme chiffrée. Le seul moyen de récupérer sa valeur est d'exécuter des commandes à l'intérieur de l'hôte exécutant l'application.

Une App URL ressemble à ceci https://dolphin-app-2tofz.ondigitalocean.app

Énumération

bash
doctl apps list # You should get URLs here
doctl apps spec get <app-id> # Get yaml (including env vars, might be encrypted)
doctl apps logs <app-id> # Get HTTP logs
doctl apps list-alerts <app-id> # Get alerts
doctl apps list-regions # Get available regions and the default one

caution

Les applications n'ont pas de point de terminaison de métadonnées

RCE & variables d'environnement chiffrées

Pour exécuter du code directement dans le conteneur exécutant l'application, vous aurez besoin d'accès à la console et d'aller à https://cloud.digitalocean.com/apps/<app-id>/console/<app-name>.

Cela vous donnera un shell, et en exécutant simplement env, vous pourrez voir toutes les variables d'environnement (y compris celles définies comme chiffrées).

tip

Apprenez et pratiquez le hacking AWS :HackTricks Training AWS Red Team Expert (ARTE)
Apprenez et pratiquez le hacking GCP : HackTricks Training GCP Red Team Expert (GRTE) Apprenez et pratiquez le hacking Azure : HackTricks Training Azure Red Team Expert (AzRTE)

Soutenir HackTricks