# GCP - Stackdriver Enum

{{#include ../../../banners/hacktricks-training.md}}

## [Stackdriver logging](https://cloud.google.com/sdk/gcloud/reference/logging/)

[**Stackdriver**](https://cloud.google.com/stackdriver/) è riconosciuto come un'ampia **suite di logging** per l'infrastruttura offerta da Google. Ha la capacità di catturare dati sensibili attraverso funzionalità come syslog, che riporta i singoli comandi eseguiti all'interno delle Compute Instances. Inoltre, monitora le richieste HTTP inviate ai load balancer o alle applicazioni App Engine, i metadati dei pacchetti di rete all'interno delle comunicazioni VPC e altro ancora.

Per una Compute Instance, l'account di servizio corrispondente richiede semplicemente permessi **WRITE** per facilitare il logging delle attività dell'istanza. Tuttavia, è possibile che un amministratore possa **inavvertitamente** fornire all'account di servizio sia permessi **READ** che **WRITE**. In tali casi, i log possono essere esaminati per informazioni sensibili.

Per raggiungere questo obiettivo, l'utilità [gcloud logging](https://cloud.google.com/sdk/gcloud/reference/logging/) offre un insieme di strumenti. Inizialmente, è consigliato identificare i tipi di log presenti nel tuo progetto attuale.
```bash
# List logs
gcloud logging logs list

# Read logs
gcloud logging read [FOLDER]

# Write logs
# An attacker writing logs may confuse the Blue Team
gcloud logging write [FOLDER] [MESSAGE]

# List Buckets
gcloud logging buckets list
```
## Riferimenti

- [https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging](https://about.gitlab.com/blog/2020/02/12/plundering-gcp-escalating-privileges-in-google-cloud-platform/#reviewing-stackdriver-logging)
- [https://initblog.com/2020/gcp-post-exploitation/](https://initblog.com/2020/gcp-post-exploitation/)

{{#include ../../../banners/hacktricks-training.md}}