GCPwn：一站式GCP安全测试工具

GCPwn：一站式GCP安全测试工具

gcpwn Enumeration/exploit/analysis/download/etc pentesting framework for GCP; modeled like Pacu for AWS; a product of numerous hours via @WebbinRoot 项目地址: https://gitcode.com/gh_mirrors/gc/gcpwn

项目介绍

GCPwn 是由 Scott Weston 开发的一款专为Google Cloud Platform（GCP）安全测试设计的工具。该工具利用Google提供的最新GRPC客户端库，集成了多个枚举模块和利用模块，旨在为GCP的安全测试提供一站式解决方案。GCPwn不仅整合了Rhino Security等知名安全研究团队的研究成果，还结合了GCPBucketBrute等现有工具，使得用户在进行GCP安全测试时能够更加高效和便捷。

项目技术分析

GCPwn的核心技术优势在于其强大的自动化能力和数据管理功能。工具通过GRPC客户端库与GCP API进行交互，能够自动执行大量的枚举和利用任务。此外，GCPwn还具备数据存储和权限管理功能，能够将测试过程中收集的数据和权限信息进行组织和存储，方便用户在后续的测试中重复使用。

项目及技术应用场景

GCPwn主要面向以下几类用户：

1. 渗透测试人员：工具自动化了许多通常需要手动执行的脚本，并将数据存储起来，使得利用模块的执行变得简单易行。
2. GCP安全初学者：工具设计易于扩展，初学者可以通过提交Pull Request的方式添加自己的模块，从而深入了解GCP的各个服务。
3. 安全研究人员：工具允许用户通过本地工具（如Burp Suite）代理所有GCP API调用，从而获取所有API端点的可见性。

项目特点

• 自动化集成：集成了多个枚举和利用模块，减少手动操作，提高测试效率。
• 数据管理：自动存储和组织测试数据，方便后续分析和利用。
• 易于扩展：支持用户通过Pull Request添加自定义模块，促进社区贡献。
• 全面覆盖：涵盖了GCP的多个服务和API端点，提供全面的测试覆盖。

使用指南

安装与配置

请参考GCPwn Wiki中的安装指南，完成工具的初始设置和文件夹配置。

常用命令

# 快速枚举所有内容并测试IAM权限
modules run enum_all --iam

# 查看当前用户的权限信息
creds info

# 处理IAM绑定并生成总结报告
modules run process_iam_bindings --txt --csv

# 分析IAM绑定及其他项目，标记潜在漏洞
modules run analyze_vulns --txt --csv

社区贡献

GCPwn欢迎社区成员提交Pull Request，添加新的模块或改进现有功能。项目维护者将在24小时内审核并处理所有提交。

结语

GCPwn作为一款专为GCP安全测试设计的工具，不仅提供了强大的自动化能力，还具备灵活的扩展性和全面的数据管理功能。无论你是渗透测试人员、GCP安全初学者还是安全研究人员，GCPwn都能为你提供极大的帮助。立即尝试GCPwn，开启你的GCP安全测试之旅吧！

gcpwn Enumeration/exploit/analysis/download/etc pentesting framework for GCP; modeled like Pacu for AWS; a product of numerous hours via @WebbinRoot 项目地址: https://gitcode.com/gh_mirrors/gc/gcpwn