GCP - API Keys Enum

Reading time: 3 minutes

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

Basic Information

Google Cloud Platform (GCP) में, API keys एक सरल एन्क्रिप्टेड स्ट्रिंग हैं जो बिना किसी प्रिंसिपल के एक एप्लिकेशन की पहचान करती हैं। इन्हें Google Cloud APIs तक पहुँचने के लिए उपयोग किया जाता है जो उपयोगकर्ता संदर्भ की आवश्यकता नहीं होती। इसका मतलब है कि इन्हें अक्सर उन परिदृश्यों में उपयोग किया जाता है जहाँ एप्लिकेशन अपने स्वयं के डेटा तक पहुँच रहा है न कि उपयोगकर्ता डेटा तक।

Restrictions

आप API keys पर प्रतिबंध लागू कर सकते हैं ताकि सुरक्षा बढ़ सके। उदाहरण के लिए, आप कुंजी को केवल कुछ IP पते, वेब, एंड्रॉइड ऐप, iOS ऐप द्वारा उपयोग करने के लिए प्रतिबंधित कर सकते हैं, या इसे GCP के भीतर कुछ APIs या सेवाओं तक सीमित कर सकते हैं।

Enumeration

यह संभव है कि आप API key के प्रतिबंध को देख सकें (जिसमें GCP API endpoints का प्रतिबंध शामिल है) क्रियाओं की सूची या विवरण का उपयोग करके:

bash
gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

note

30 दिनों से पहले हटाए गए कुंजी को पुनर्प्राप्त करना संभव है, यही कारण है कि आप हटाए गए कुंजी की सूची बना सकते हैं।

Privilege Escalation & Post Exploitation

GCP - Apikeys Privesc

Unauthenticated Enum

GCP - API Keys Unauthenticated Enum

Persistence

GCP - API Keys Persistence

tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें