2.5 KiB
GCP - App Engine Post Exploitation
{{#include ../../../banners/hacktricks-training.md}}
App Engine
App Engine के बारे में जानकारी के लिए देखें:
{{#ref}} ../gcp-services/gcp-app-engine-enum.md {{#endref}}
appengine.memcache.addKey | appengine.memcache.list | appengine.memcache.getKey | appengine.memcache.flush
इन अनुमतियों के साथ यह संभव है:
- एक कुंजी जोड़ें
- कुंजियों की सूची बनाएं
- एक कुंजी प्राप्त करें
- हटाएं
Caution
हालाँकि, मैं cli से इस जानकारी तक पहुँचने का कोई तरीका नहीं ढूंढ सका, केवल वेब कंसोल से जहाँ आपको कुंजी प्रकार और कुंजी नाम जानना आवश्यक है, या एक app engine चलाने वाले ऐप से।
यदि आप इन अनुमतियों का उपयोग करने के लिए आसान तरीके जानते हैं तो एक पुल अनुरोध भेजें!
logging.views.access
इस अनुमति के साथ यह संभव है कि ऐप के लॉग देखें:
gcloud app logs tail -s <name>
स्रोत कोड पढ़ें
सभी संस्करणों और सेवाओं का स्रोत कोड बकेट में संग्रहीत है जिसका नाम staging.<proj-id>.appspot.com है। यदि आपके पास इसके ऊपर लिखने की अनुमति है, तो आप स्रोत कोड पढ़ सकते हैं और कमजोरियों और संवेदनशील जानकारी की खोज कर सकते हैं।
स्रोत कोड संशोधित करें
यदि क्रेडेंशियल भेजे जा रहे हैं तो उन्हें चुराने के लिए स्रोत कोड को संशोधित करें या एक डिफेसमेंट वेब हमले को अंजाम दें।
{{#include ../../../banners/hacktricks-training.md}}