GCP - Serviceusage Privesc

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

serviceusage

निम्नलिखित permissions API keys बनाने और चुराने के लिए उपयोगी हैं, डॉक्यूमेंट्स से नोट करें: API key एक सरल एन्क्रिप्टेड स्ट्रिंग है जो किसी principal के बिना किसी application की पहचान करती है। ये सार्वजनिक डेटा को गुमनाम रूप से एक्सेस करने के लिए उपयोगी होते हैं, और quota और billing के लिए आपके project के साथ API requests को associate करने में इस्तेमाल होते हैं।

इसलिए, एक API key के साथ आप उस कंपनी को अपने API उपयोग का भुगतान करवाने के लिए मजबूर कर सकते हैं, लेकिन आप privileges escalate नहीं कर पाएँगे।

अन्य permissions और API keys जनरेट करने के तरीकों के बारे में जानने के लिए देखें:

GCP - Apikeys Privesc

serviceusage.apiKeys.create

एक undocumented API मिला है जिसका उपयोग create API keys करने के लिए किया जा सकता है:

Create API key using undocumented API ```bash curl -XPOST "https://apikeys.clients6.google.com/v1/projects//apiKeys?access_token=$(gcloud auth print-access-token)" ```

serviceusage.apiKeys.list

पहले से बनाए गए API keys को सूचीबद्ध करने के लिए एक और अनदस्तावेज़ API मिला (API keys प्रतिक्रिया में प्रदर्शित होते हैं):

अनदस्तावेज़ API का उपयोग करके API keys सूचीबद्ध करें ```bash curl "https://apikeys.clients6.google.com/v1/projects//apiKeys?access_token=$(gcloud auth print-access-token)" ```

serviceusage.services.enable , serviceusage.services.use

इन permissions के साथ एक attacker प्रोजेक्ट में नए services को enable और use कर सकता है। इससे एक attacker को admin या cloudidentity जैसी service enable करके Workspace जानकारी तक पहुँचने की कोशिश करने, या अन्य services के माध्यम से रोचक डेटा एक्सेस करने की अनुमति मिल सकती है।

संदर्भ

HackTricks का समर्थन करें और लाभ पाएं!

क्या आप किसी cybersecurity company में काम करते हैं? क्या आप अपनी company को HackTricks में विज्ञापित देखना चाहते हैं? या क्या आप PEASS के latest version या HackTricks को PDF में डाउनलोड करना चाहते हैं? Check the SUBSCRIPTION PLANS!

Discover The PEASS Family, हमारी exclusive NFTs कलेक्शन

Get the official PEASS & HackTricks swag

Join the 💬 Discord group या the telegram group या follow करें मुझे Twitter पर 🐦@carlospolopm.

अपने hacking tricks साझा करें PRs सबमिट करके to the hacktricks github repo****

.

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें