2.7 KiB
GCP - API Keys Enum
{{#include ../../../banners/hacktricks-training.md}}
Basic Information
Google Cloud Platform (GCP) में, API keys एक सरल एन्क्रिप्टेड स्ट्रिंग हैं जो बिना किसी प्रिंसिपल के एक एप्लिकेशन की पहचान करती हैं। इन्हें Google Cloud APIs तक पहुँचने के लिए उपयोग किया जाता है जो उपयोगकर्ता संदर्भ की आवश्यकता नहीं होती। इसका मतलब है कि इन्हें अक्सर उन परिदृश्यों में उपयोग किया जाता है जहाँ एप्लिकेशन अपने स्वयं के डेटा तक पहुँच रहा है न कि उपयोगकर्ता डेटा तक।
Restrictions
आप API keys पर प्रतिबंध लागू कर सकते हैं ताकि सुरक्षा बढ़ सके। उदाहरण के लिए, आप कुंजी को केवल कुछ IP पते, वेब, एंड्रॉइड ऐप, iOS ऐप द्वारा उपयोग करने के लिए प्रतिबंधित कर सकते हैं, या इसे GCP के भीतर कुछ APIs या सेवाओं तक सीमित कर सकते हैं।
Enumeration
यह संभव है कि आप API key के प्रतिबंध को देख सकें (जिसमें GCP API endpoints का प्रतिबंध शामिल है) क्रियाओं की सूची या विवरण का उपयोग करके:
gcloud services api-keys list
gcloud services api-keys describe <key-uuid>
gcloud services api-keys list --show-deleted
Note
30 दिनों से पहले हटाए गए कुंजी को पुनर्प्राप्त करना संभव है, यही कारण है कि आप हटाए गए कुंजी की सूची बना सकते हैं।
Privilege Escalation & Post Exploitation
{{#ref}} ../gcp-privilege-escalation/gcp-apikeys-privesc.md {{#endref}}
Unauthenticated Enum
{{#ref}} ../gcp-unauthenticated-enum-and-access/gcp-api-keys-unauthenticated-enum.md {{#endref}}
Persistence
{{#ref}} ../gcp-persistence/gcp-api-keys-persistence.md {{#endref}}
{{#include ../../../banners/hacktricks-training.md}}