HackTricks CloudGCP - Serviceusage Privesc
Tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
serviceusage
Sledeće dozvole su korisne za kreiranje i krađu API ključeva, napomena iz dokumentacije: An API key is a simple encrypted string that identifies an application without any principal. They are useful for accessing public data anonymously, and are used to associate API requests with your project for quota and billing.
Dakle, sa API ključem možete naterati tu kompaniju da plati za vaše korišćenje API-ja, ali nećete moći da escalate privileges.
Da biste saznali druge dozvole i načine za generisanje API ključeva, pogledajte:
serviceusage.apiKeys.create
Pronađen je nedokumentovan API koji se može koristiti za kreiranje API ključeva:
Kreiranje API ključa koristeći nedokumentovani API
```bash curl -XPOST "https://apikeys.clients6.google.com/v1/projects/serviceusage.apiKeys.list
Pronađen je još jedan nedokumentovani API za listanje API keys koji su već kreirani (API keys se pojavljuju u odgovoru):
Prikaži API keys koristeći nedokumentovani API
```bash curl "https://apikeys.clients6.google.com/v1/projects/serviceusage.services.enable , serviceusage.services.use
Sa ovim dozvolama attacker može da omogući i koristi nove servise u projektu. Ovo može omogućiti attacker da omogući servis kao admin ili cloudidentity kako bi pokušao da pristupi Workspace informacijama, ili drugim servisima da pristupe zanimljivim podacima.
References
Podržite HackTricks i ostvarite pogodnosti!
Radite li u kompaniji za cybersecurity? Želite li da vaša kompanija bude reklamirana u HackTricks? Ili želite pristup najnovijoj verziji PEASS ili da preuzmete HackTricks u PDF formatu? Pogledajte SUBSCRIPTION PLANS!
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFTs
Nabavite official PEASS & HackTricks swag
Pridružite se 💬 Discord group ili telegram group ili zapratite me na Twitter 🐦@carlospolopm.
Podelite svoje hacking tricks slanjem PRs u hacktricks github repo****
.
Tip
Učite i vežbajte AWS Hacking:
Učite i vežbajte GCP Hacking:Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.