gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-01-12 21:13:45 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/aws-security/aws-post-exploitation

Browse Source
This commit is contained in:
Translator
2025-10-01 10:29:17 +00:00
parent 10b5cb8494
commit 0fb202c71b
1 changed files with 14 additions and 8 deletions
Download Patch File Download Diff File Expand all files Collapse all files

22
src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md
View File

@@ -1,4 +1,4 @@
# AWS - Secrets Manager Post Explotación
# AWS - Secrets Manager Post Exploitation
{{#include ../../../banners/hacktricks-training.md}}
@@ -10,13 +10,13 @@ Para más información, consulta:
../aws-services/aws-secrets-manager-enum.md
{{#endref}}
### Leer Secretos
### Leer Secrets
Los **secretos en sí son información sensible**, [consulta la página de privesc](../aws-privilege-escalation/aws-secrets-manager-privesc.md) para aprender cómo leerlos.
Los **secrets en sí son información sensible**, [consulta la página privesc](../aws-privilege-escalation/aws-secrets-manager-privesc.md) para aprender cómo leerlos.
### DoS Cambiar el Valor del Secreto
### DoS Cambiar el valor del secret
Al cambiar el valor del secreto, podrías **DoS todo el sistema que depende de ese valor.**
Al cambiar el valor del secret podrías **hacer DoS a todos los sistemas que dependen de ese valor.**
> [!WARNING]
> Ten en cuenta que los valores anteriores también se almacenan, por lo que es fácil volver al valor anterior.
@@ -26,15 +26,21 @@ aws secretsmanager put-secret-value \
--secret-id MyTestSecret \
--secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
```
### DoS Cambiar la clave KMS
### DoS Change KMS key
Si el attacker tiene el permiso secretsmanager:UpdateSecret, puede configurar el secret para que use una KMS key propiedad del attacker. Esa key se configura inicialmente de forma que cualquiera pueda acceder y usarla, por lo que es posible actualizar el secret con la nueva key. Si la key no fuera accesible, no se podría actualizar el secret.
Tras cambiar la key del secret, el attacker modifica la configuración de su key para que sólo él pueda acceder a ella. De este modo, en las versiones posteriores del secret se cifrará con la nueva key, y al no haber acceso a ésta, se perdería la posibilidad de recuperar el secret.
Es importante señalar que esta inaccesibilidad sólo ocurrirá en versiones posteriores, después de que cambie el contenido del secret, ya que la versión actual sigue estando cifrada con la KMS key original.
```bash
aws secretsmanager update-secret \
--secret-id MyTestSecret \
--kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
```
### DoS Eliminando Secreto
### DoS Deleting Secret
El número mínimo de días para eliminar un secreto es 7
El número mínimo de días para eliminar un secret es 7
```bash
aws secretsmanager delete-secret \
--secret-id MyTestSecret \