AWS - Secrets Manager Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Pour plus d'informations sur le gestionnaire de secrets, consultez :
secretsmanager:GetSecretValue
Un attaquant avec cette permission peut obtenir la valeur enregistrée à l'intérieur d'un secret dans AWS Secretsmanager.
Impact potentiel : Accéder à des données très sensibles dans le service AWS Secrets Manager.
secretsmanager:GetResourcePolicy
, secretsmanager:PutResourcePolicy
, (secretsmanager:ListSecrets
)Avec les autorisations précédentes, il est possible de donner accès à d'autres principaux/comptes (même externes) pour accéder au secret. Notez que pour lire les secrets chiffrés avec une clé KMS, l'utilisateur doit également avoir accès à la clé KMS (plus d'infos sur la page d'énumération KMS).
policy.json:
Apprenez et pratiquez le hacking AWS :HackTricks Formation Expert Red Team AWS (ARTE) Apprenez et pratiquez le hacking GCP : HackTricks Formation Expert Red Team GCP (GRTE)