# GCP - Stackdriver Enum

{{#include ../../../banners/hacktricks-training.md}}

## [Stackdriver logging](https://cloud.google.com/sdk/gcloud/reference/logging/)

[**Stackdriver**](https://cloud.google.com/stackdriver/) wird als umfassende Infrastruktur **Logging-Suite** von Google anerkannt. Es hat die Fähigkeit, sensible Daten durch Funktionen wie Syslog zu erfassen, das einzelne Befehle meldet, die innerhalb von Compute-Instanzen ausgeführt werden. Darüber hinaus überwacht es HTTP-Anfragen, die an Load Balancer oder App Engine-Anwendungen gesendet werden, Netzwerkpaket-Metadaten innerhalb von VPC-Kommunikationen und mehr.

Für eine Compute-Instanz benötigt das entsprechende Dienstkonto lediglich **WRITE**-Berechtigungen, um das Logging von Instanzaktivitäten zu ermöglichen. Es ist jedoch möglich, dass ein Administrator dem Dienstkonto versehentlich sowohl **READ**- als auch **WRITE**-Berechtigungen gewährt. In solchen Fällen können die Protokolle auf sensible Informationen überprüft werden.

Um dies zu erreichen, bietet das [gcloud logging](https://cloud.google.com/sdk/gcloud/reference/logging/) Dienstprogramm eine Reihe von Tools. Zunächst wird empfohlen, die Arten von Protokollen in Ihrem aktuellen Projekt zu identifizieren.
```bash
# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list
```
## Referenzen

- [https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging](https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging)
- [https://initblog.com/2020/gcp-post-exploitation/](https://initblog.com/2020/gcp-post-exploitation/)

{{#include ../../../banners/hacktricks-training.md}}