AWS - Secrets Manager Privesc
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Для отримання додаткової інформації про менеджер секретів перегляньте:
secretsmanager:GetSecretValue
Атакуючий з цим дозволом може отримати збережене значення всередині секрету в AWS Secretsmanager.
Потенційний вплив: Доступ до високочутливих даних у службі AWS Secrets Manager.
secretsmanager:GetResourcePolicy
, secretsmanager:PutResourcePolicy
, (secretsmanager:ListSecrets
)З попередніми дозволами можливо надати доступ іншим принципалам/акаунтам (навіть зовнішнім) для доступу до секрету. Зверніть увагу, що для читання секретів, зашифрованих за допомогою ключа KMS, користувач також повинен мати доступ до ключа KMS (більше інформації на сторінці KMS Enum).
policy.json:
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)