HackTricks CloudGCP - API Keys Enum
Tip
学习并练习 AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
学习并练习 GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
学习并练习 Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
支持 HackTricks
- 查看 subscription plans!
- 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。
基本信息
在 Google Cloud Platform (GCP) 中,API 密钥是一个简单的加密字符串,用于识别一个没有任何主体的应用程序。它们用于访问不需要用户上下文的 Google Cloud APIs。这意味着它们通常用于应用程序访问其自身数据而不是用户数据的场景。
限制
您可以对 API 密钥应用限制以增强安全性。例如,您可以限制密钥仅由某些 IP 地址、网站、安卓应用、iOS 应用使用,或限制它仅用于 GCP 内的某些 APIs 或服务。
枚举
可以使用动词列表或描述来查看 API 密钥的限制(包括 GCP API 端点限制):
gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted
Note
在30天内可以恢复已删除的密钥,这就是为什么您可以列出已删除的密钥。
权限提升与后期利用
未认证枚举
GCP - API Keys Unauthenticated Enum
持久性
Tip
学习并练习 AWS Hacking:
学习并练习 GCP Hacking:
学习并练习 Az Hacking:支持 HackTricks
- 查看 subscription plans!
- 加入 💬 Discord group 或者 telegram group 或 关注 我们的 Twitter 🐦 @hacktricks_live.
- 通过向 HackTricks 和 HackTricks Cloud github 仓库 提交 PRs 来分享 hacking tricks。