GCP - App Engine Post Exploitation

Reading time: 2 minutes

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

App Engine

Kwa maelezo kuhusu App Engine angalia:

GCP - App Engine Enum

appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush

Kwa ruhusa hizi inawezekana:

  • Kuongeza ufunguo
  • Kuorodhesha funguo
  • Kupata ufunguo
  • Kufuta

caution

Hata hivyo, si wezi kupata njia yoyote ya kufikia taarifa hii kutoka kwa cli, tu kutoka kwenye web console ambapo unahitaji kujua Aina ya ufunguo na Jina la ufunguo, au kutoka kwenye app engine inayotembea.

Ikiwa unajua njia rahisi za kutumia ruhusa hizi tuma Pull Request!

logging.views.access

Kwa ruhusa hii inawezekana kuona kumbukumbu za App:

bash
gcloud app logs tail -s <name>

Soma Msimbo wa Chanzo

Msimbo wa chanzo wa matoleo yote na huduma uhifadhiwa katika bucket yenye jina staging.<proj-id>.appspot.com. Ikiwa una ruhusa ya kuandika juu yake unaweza kusoma msimbo wa chanzo na kutafuta mapungufu na taarifa nyeti.

Badilisha Msimbo wa Chanzo

Badilisha msimbo wa chanzo ili kuiba akreditivu ikiwa zinatumwa au fanya shambulio la kubadilisha wavuti.

tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks