HackTricks CloudGCP - App Engine Post Exploitation
Reading time: 4 minutes
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
App Engine
App Engineに関する情報は次を確認してください:
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush
これらの権限を使用すると、次のことが可能です:
- キーを追加
- キーをリスト
- キーを取得
- 削除
caution
しかし、cliからこの情報にアクセスする方法は見つかりませんでした。ウェブコンソールからのみアクセス可能で、キータイプとキー名を知っている必要があります。または、アプリエンジンで実行中のアプリからです。
これらの権限を使用する簡単な方法を知っている場合は、プルリクエストを送信してください!
logging.views.access
この権限を使用すると、アプリのログを見ることができます:
gcloud app logs tail -s <name>
ソースコードを読む
すべてのバージョンとサービスのソースコードは、staging.<proj-id>.appspot.comという名前のバケットに保存されています。書き込みアクセスがあれば、ソースコードを読み、脆弱性や機密情報を探すことができます。
ソースコードを変更する
資格情報が送信されている場合はそれを盗むためにソースコードを変更するか、改ざんウェブ攻撃を実行します。
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。