GCP - App Engine Post Exploitation

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

• Angalia mpango wa usajili!
• Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
• Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

App Engine

Kwa taarifa kuhusu App Engine angalia:

GCP - App Engine Enum

appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush

Kwa ruhusa hizi inawezekana:

• Ongeza key
• Orodhesha keys
• Pata key
• Futa key

Caution

Hata hivyo, sikuweza kupata njia yoyote ya kufikia taarifa hizi kutoka cli, tu kutoka kwa web console ambapo unahitaji kujua Key type na Key name, au kutoka kwa app engine running app.

Ikiwa unajua njia rahisi za kutumia ruhusa hizi tuma Pull Request!

logging.views.access

Kwa ruhusa hii inawezekana kuona logs za App:

gcloud app logs tail -s <name>

Service and version deletion

Ruhusa za appengine.versions.delete, appengine.versions.list, na appengine.services.list zinaruhusu kusimamia na kufuta matoleo maalum ya programu ya App Engine, ambayo inaweza kuathiri trafiki ikiwa imegawanywa au ikiwa toleo pekee thabiti limeondolewa. Wakati huo huo, ruhusa za appengine.services.delete na appengine.services.list zinaruhusu kuorodhesha na kufuta huduma nzima—kitendo kinachovuruga mara moja trafiki yote na upatikanaji wa matoleo yanayohusiana.

gcloud app versions delete <VERSION_ID>
gcloud app services delete <SERVICE_NAME>

Soma Source Code

Source code ya matoleo yote na huduma zote imehifadhiwa katika bucket yenye jina staging.<proj-id>.appspot.com. Ikiwa una haki ya kuandika juu yake unaweza kusoma source code na kutafuta vulnerabilities na sensitive information.

Badilisha Source Code

Badilisha source code ili kunyang’anya credentials ikiwa zinatumwa au kufanya defacement web attack.

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

• Angalia mpango wa usajili!
• Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.
• Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.