GCP - API Keys Enum

Tip

AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)
Az 해킹 학습 및 실습: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

기본 정보

Google Cloud Platform (GCP)에서 API 키는 주체 없이 애플리케이션을 식별하는 간단한 암호화된 문자열입니다. 이는 사용자 컨텍스트가 필요 없는 Google Cloud API에 접근하는 데 사용됩니다. 즉, 애플리케이션이 사용자 데이터가 아닌 자신의 데이터에 접근하는 시나리오에서 자주 사용됩니다.

제한 사항

API 키에 제한을 적용하여 보안을 강화할 수 있습니다. 예를 들어, 키를 특정 IP 주소, 웹, 안드로이드 앱, iOS 앱에서만 사용하도록 제한하거나 GCP 내의 특정 API 또는 서비스로 제한할 수 있습니다.

열거

API 키의 제한을 확인하는 것이 가능합니다 (GCP API 엔드포인트 제한 포함) 동사 목록 또는 설명을 사용하여:

gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted

Note

30일이 지나기 전에 삭제된 키를 복구할 수 있으므로 삭제된 키를 나열할 수 있습니다.

권한 상승 및 포스트 익스플로잇

GCP - Apikeys Privesc

인증되지 않은 열거

GCP - API Keys Unauthenticated Enum

지속성

GCP - API Keys Persistence

Tip

AWS 해킹 학습 및 실습:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 학습 및 실습: HackTricks Training GCP Red Team Expert (GRTE)
Az 해킹 학습 및 실습: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기