HackTricks CloudGCP - Serviceusage Privesc
Reading time: 3 minutes
tip
Učite i vežbajte AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
serviceusage
Sledeće dozvole su korisne za kreiranje i krađu API ključeva, ne zaboravite ovo iz dokumentacije: API ključ je jednostavna enkriptovana niska koja identifikuje aplikaciju bez ikakvog principala. Korisni su za pristupanje javnim podacima anonimno, i koriste se za povezivanje API zahteva sa vašim projektom za kvotu i naplatu.
Dakle, sa API ključem možete naterati tu kompaniju da plati za vaše korišćenje API-ja, ali nećete moći da eskalirate privilegije.
Da biste saznali druge dozvole i načine za generisanje API ključeva, proverite:
serviceusage.apiKeys.create
Pronađen je nedokumentovani API koji se može koristiti za kreiranje API ključeva:
curl -XPOST "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"
serviceusage.apiKeys.list
Pronađena je još jedna nedokumentovana API za listanje API ključeva koji su već kreirani (API ključevi se pojavljuju u odgovoru):
curl "https://apikeys.clients6.google.com/v1/projects/<project-uniq-name>/apiKeys?access_token=$(gcloud auth print-access-token)"
serviceusage.services.enable , serviceusage.services.use
Sa ovim dozvolama napadač može omogućiti i koristiti nove usluge u projektu. To bi moglo omogućiti napadaču da omogući uslugu kao što je admin ili cloudidentity da pokuša da pristupi informacijama iz Workspace-a, ili drugim uslugama za pristup zanimljivim podacima.
References
Support HackTricks and get benefits!
Da li radite u cybersecurity company? Da li želite da vidite vašu company advertised in HackTricks? ili želite da imate pristup latest version of the PEASS or download HackTricks in PDF? Proverite SUBSCRIPTION PLANS!
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFTs
Dobijte official PEASS & HackTricks swag
Join the 💬 Discord group or the telegram group or follow me on Twitter 🐦@carlospolopm.
Share your hacking tricks submitting PRs to the hacktricks github repo****
.
tip
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Podržite HackTricks
- Proverite planove pretplate!
- Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
- Podelite hakerske trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.