AWS - Secrets Manager Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Para más información sobre el secrets manager, consulta:
AWS - Secrets Manager Enumsecretsmanager:GetSecretValue
Un atacante con este permiso puede obtener el valor guardado dentro de un secreto en AWS Secretsmanager.
Impacto Potencial: Acceso a datos altamente sensibles dentro del servicio AWS Secrets Manager.
secretsmanager:GetResourcePolicy
, secretsmanager:PutResourcePolicy
, (secretsmanager:ListSecrets
)Con los permisos anteriores es posible dar acceso a otros principales/cuentas (incluso externas) para acceder al secreto. Tenga en cuenta que para leer secretos cifrados con una clave KMS, el usuario también necesita tener acceso a la clave KMS (más información en la página de enumeración de KMS).
policy.json:
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)