GCP - Secrets Manager Enum

सीक्रेट मैनेजर

Google Secret Manager एक वॉल्ट-जैसी समाधान है जिसमें पासवर्ड, API कुंजी, प्रमाणपत्र, फ़ाइलें (अधिकतम 64KB) और अन्य संवेदनशील डेटा स्टोर किया जा सकता है।

एक सीक्रेट में विभिन्न संस्करण जो विभिन्न डेटा स्टोर करते हैं हो सकते हैं।

डिफ़ॉल्ट रूप से सीक्रेट्स को गूगल द्वारा प्रबंधित कुंजी का उपयोग करके एन्क्रिप्ट किया जाता है, लेकिन सीक्रेट को एन्क्रिप्ट करने के लिए KMS से कुंजी का चयन करना संभव है।

रोटेशन के संदर्भ में, संदेशों को पब-सब पर भेजने की सम्भावना है हर कुछ दिनों में, उन संदेशों को सुनने वाला कोड सीक्रेट को रोटेट कर सकता है।

स्वचालित मिटाने के लिए एक दिन को कॉन्फ़िगर करना संभव है, जब निर्दिष्ट दिन पहुँचा जाएगा, तो सीक्रेट स्वचालित रूप से मिटा दिया जाएगा।

गणना

# First, list the entries
gcloud secrets list
gcloud secrets get-iam-policy <secret_name>

# Then, pull the clear-text of any version of any secret
gcloud secrets versions list <secret_name>
gcloud secrets versions access 1 --secret="<secret_name>"

विशेषाधिकार उन्नयन

निम्नलिखित पृष्ठ पर आप देख सकते हैं कि विशेषाधिकार उन्नयन के लिए गुप्तमंत्र परमिशन का दुरुपयोग कैसे किया जा सकता है।

पोस्ट एक्सप्लोइटेशन

स्थिरता

रोटेशन दुरुपयोग

हमलावर गुप्तमंत्र को अपडेट कर सकता है रोटेशन रोकने के लिए (ताकि यह संशोधित न हो), या रोटेशन को बहुत कम बार करने के लिए (ताकि गुप्तमंत्र संशोधित न हो) या रोटेशन संदेश को एक विभिन्न पब/सब पर प्रकाशित करने के लिए, या निष्पादित हो रहे रोटेशन कोड को संशोधित करने के लिए (यह एक विभिन्न सेवा में होता है, संभावतः एक क्लाउड फंक्शन में, इसलिए हमलावर को क्लाउड फंक्शन या किसी अन्य सेवा पर विशेषाधिकार पहुंच की आवश्यकता होगी)