AWS - Secrets Manager Privesc
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Für weitere Informationen über den Secrets Manager siehe:
AWS - Secrets Manager Enumsecretsmanager:GetSecretValue
Ein Angreifer mit dieser Berechtigung kann den gespeicherten Wert innerhalb eines Secrets in AWS Secretsmanager abrufen.
Potenzielle Auswirkungen: Zugriff auf hochsensible Daten im AWS Secrets Manager-Dienst.
secretsmanager:GetResourcePolicy
, secretsmanager:PutResourcePolicy
, (secretsmanager:ListSecrets
)Mit den vorherigen Berechtigungen ist es möglich, anderen Principals/Konten (sogar externen) Zugriff auf das Geheimnis zu gewähren. Beachten Sie, dass der Benutzer auch Zugriff auf den KMS-Schlüssel haben muss, um verschlüsselte Geheimnisse mit einem KMS-Schlüssel zu lesen (weitere Informationen auf der KMS Enum-Seite).
policy.json:
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)