Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Google Secret Manager to rozwiązanie przypominające sejf do przechowywania haseł, kluczy API, certyfikatów, plików (maks. 64KB) i innych wrażliwych danych.
Sekret może mieć różne wersje przechowujące różne dane.
Sekrety są domyślnie szyfrowane za pomocą klucza zarządzanego przez Google, ale możliwe jest wybranie klucza z KMS do użycia do szyfrowania sekretu.
Jeśli chodzi o rotację, możliwe jest skonfigurowanie wiadomości, które będą wysyłane do pub-sub co określoną liczbę dni, kod nasłuchujący tych wiadomości może rotować sekret.
Możliwe jest skonfigurowanie dnia dla automatycznego usunięcia, gdy wskazany dzień zostanie osiągnięty, sekret zostanie automatycznie usunięty.
Na następnej stronie możesz sprawdzić, jak nadużyć uprawnień secretmanager, aby podwyższyć uprawnienia.
GCP - Secretmanager PrivescAtakujący mógłby zaktualizować sekret, aby zatrzymać rotacje (aby nie był modyfikowany), lub sprawić, że rotacje będą znacznie rzadsze (aby sekret nie był modyfikowany) lub opublikować wiadomość o rotacji do innego pub/sub, lub zmodyfikować kod rotacji, który jest wykonywany (to dzieje się w innej usłudze, prawdopodobnie w Cloud Function, więc atakujący będzie potrzebował uprzywilejowanego dostępu do Cloud Function lub jakiejkolwiek innej usługi)
Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
