HackTricks CloudGCP - App Engine Post Exploitation
Reading time: 2 minutes
tip
AWS 해킹 배우기 및 연습하기:
HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: 
HackTricks Training GCP Red Team Expert (GRTE)
Azure 해킹 배우기 및 연습하기: 
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.
App Engine
App Engine에 대한 정보는 다음을 확인하세요:
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush
이 권한으로 할 수 있는 것:
- 키 추가
- 키 목록
- 키 가져오기
- 삭제
caution
그러나, cli에서 이 정보를 접근할 방법을 찾을 수 없었습니다, 오직 웹 콘솔에서 Key type과 Key name을 알아야 하며, app engine이 실행 중인 앱에서만 가능합니다.
이 권한을 사용하는 더 쉬운 방법을 알고 있다면 Pull Request를 보내주세요!
logging.views.access
이 권한으로 앱의 로그를 볼 수 있습니다:
gcloud app logs tail -s <name>
소스 코드 읽기
모든 버전과 서비스의 소스 코드는 **staging.<proj-id>.appspot.com**이라는 이름의 버킷에 저장되어 있습니다. 이 버킷에 대한 쓰기 권한이 있다면 소스 코드를 읽고 취약점 및 민감한 정보를 검색할 수 있습니다.
소스 코드 수정
자격 증명이 전송되고 있다면 이를 훔치기 위해 소스 코드를 수정하거나 웹 공격을 수행하여 변조할 수 있습니다.
tip
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)
Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)
HackTricks 지원하기
- 구독 계획 확인하기!
- **💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
- HackTricks 및 HackTricks Cloud 깃허브 리포지토리에 PR을 제출하여 해킹 트릭을 공유하세요.