GCP - Serviceusage Privesc

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Angalia mpango wa usajili!

Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.

Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

serviceusage

Ruhusa zifuatazo ni muhimu kwa kuunda na kuiba API keys, tambua hili kutoka kwa nyaraka: API key ni mfuatano rahisi uliosimbwa ambao hutambulisha programu bila mhusika yoyote. Zinasaidia kupata data za umma bila kujulikana, na zinatumiwa kuhusisha maombi ya API na project yako kwa ajili ya quota na malipo.

Hivyo, kwa API key unaweza kufanya kampuni hiyo ilipe kwa matumizi yako ya API, lakini hutaweza kuinua ruhusa.

Ili kujifunza ruhusa nyingine na njia za kuunda API keys angalia:

GCP - Apikeys Privesc

`serviceusage.apiKeys.create`

API isiyoandikwa ilipatikana ambayo inaweza kutumika kuunda API keys:

Unda API key kwa kutumia API isiyoandikwa

```bash curl -XPOST "https://apikeys.clients6.google.com/v1/projects//apiKeys?access_token=$(gcloud auth print-access-token)" ```

`serviceusage.apiKeys.list`

API nyingine isiyoandikwa ilipatikana kwa ajili ya kuorodhesha API keys ambazo tayari zimetengenezwa (API keys zinaonekana katika majibu):

Orodhesha API keys kwa kutumia API isiyoandikwa

```bash curl "https://apikeys.clients6.google.com/v1/projects//apiKeys?access_token=$(gcloud auth print-access-token)" ```

`serviceusage.services.enable` , `serviceusage.services.use`

Kwa ruhusa hizi mshambuliaji anaweza kuwezesha na kutumia huduma mpya katika project. Hii inaweza kumruhusu mshambuliaji kuwezesha huduma kama admin au cloudidentity ili kujaribu kupata taarifa za Workspace, au huduma nyingine kupata data ya kuvutia.

Marejeo

https://rhinosecuritylabs.com/cloud-security/privilege-escalation-google-cloud-platform-part-2/

Support HackTricks and get benefits!

Je, unafanya kazi katika kampuni ya usalama wa mtandao? Unataka kuona kampuni yako ikitangazwa katika HackTricks? Au ungependa kupata toleo la hivi karibuni la PEASS au kupakua HackTricks kwa PDF? Angalia SUBSCRIPTION PLANS!

Gundua The PEASS Family, mkusanyiko wetu wa kipekee wa NFTs

Pata bidhaa rasmi za PEASS & HackTricks

Jiunge na 💬 Discord group au telegram group au nifuate kwenye Twitter 🐦@carlospolopm.

Shiriki mbinu zako za hacking kwa kutuma PRs kwenye hacktricks github repo****

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Angalia mpango wa usajili!

Jiunge na 💬 kikundi cha Discord au kikundi cha telegram au tufuatilie kwenye Twitter 🐦 @hacktricks_live.

Shiriki mbinu za hacking kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

HackTricks Cloud

GCP - Serviceusage Privesc

serviceusage

serviceusage.apiKeys.create

serviceusage.apiKeys.list

serviceusage.services.enable , serviceusage.services.use

Marejeo

`serviceusage.apiKeys.create`

`serviceusage.apiKeys.list`

`serviceusage.services.enable` , `serviceusage.services.use`