AWS - Secrets Manager Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Kwa maelezo zaidi kuhusu meneja wa siri angalia:
AWS - Secrets Manager Enumsecretsmanager:GetSecretValue
Mshambuliaji mwenye ruhusa hii anaweza kupata thamani iliyohifadhiwa ndani ya siri katika AWS Secretsmanager.
Madhara Yanayoweza Kutokea: Upatikanaji wa data nyeti sana ndani ya huduma ya AWS secrets manager.
secretsmanager:GetResourcePolicy
, secretsmanager:PutResourcePolicy
, (secretsmanager:ListSecrets
)Kwa ruhusa zilizotangulia inawezekana kutoa upatikanaji kwa wahusika/akaunti wengine (hata za nje) kupata siri. Kumbuka kwamba ili kusoma siri zilizofichwa kwa kutumia funguo za KMS, mtumiaji pia anahitaji kuwa na upatikanaji juu ya funguo za KMS (maelezo zaidi katika KMS Enum page).
policy.json:
Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)