AWS - Secrets Manager Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori informazioni su Secrets Manager, controlla:
secretsmanager:GetSecretValue
Un attaccante con questo permesso può ottenere il valore salvato all'interno di un segreto in AWS Secretsmanager.
Impatto Potenziale: Accesso a dati altamente sensibili all'interno del servizio AWS secrets manager.
secretsmanager:GetResourcePolicy
, secretsmanager:PutResourcePolicy
, (secretsmanager:ListSecrets
)Con i permessi precedenti è possibile dare accesso ad altri principali/account (anche esterni) per accedere al segreto. Nota che per leggere segreti crittografati con una chiave KMS, l'utente deve anche avere accesso sulla chiave KMS (maggiori informazioni nella pagina KMS Enum).
policy.json:
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)