gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2025-12-28 05:33:10 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/aws-security/aws-post-exploitation

Browse Source
This commit is contained in:
Translator
2025-10-01 10:25:40 +00:00
parent c5f8c841c0
commit 48ec6c7340
1 changed files with 13 additions and 7 deletions
Download Patch File Download Diff File Expand all files Collapse all files

20
src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md
View File

@@ -12,29 +12,35 @@ Für weitere Informationen siehe:
### Secrets lesen
Die **Secrets selbst sind sensible Informationen**, [siehe die Privesc-Seite](../aws-privilege-escalation/aws-secrets-manager-privesc.md), um zu lernen, wie man sie liest.
Die **Secrets selbst sind sensible Informationen** [check the privesc page](../aws-privilege-escalation/aws-secrets-manager-privesc.md) um zu erfahren, wie man sie liest.
### DoS Secret-Wert ändern
### DoS Change Secret Value
Durch das Ändern des Wertes des Secrets könntest du **das gesamte System, das von diesem Wert abhängt, DoS.**
Durch Ändern des Werts des Secrets könnten Sie **alle Systeme, die von diesem Wert abhängen, einem DoS aussetzen.**
> [!WARNING]
> Beachte, dass vorherige Werte ebenfalls gespeichert werden, sodass es einfach ist, zum vorherigen Wert zurückzukehren.
> Beachte, dass vorherige Werte ebenfalls gespeichert werden, sodass es leicht ist, zum vorherigen Wert zurückzukehren.
```bash
# Requires permission secretsmanager:PutSecretValue
aws secretsmanager put-secret-value \
--secret-id MyTestSecret \
--secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
```
### DoS KMS-Schlüssel ändern
### DoS Change KMS key
Wenn der Angreifer die Berechtigung secretsmanager:UpdateSecret hat, kann er das Secret so konfigurieren, dass es einen KMS key verwendet, der dem Angreifer gehört. Dieser Key wird anfangs so eingerichtet, dass jeder darauf zugreifen und ihn verwenden kann, sodass ein Update des Secret mit dem neuen Key möglich ist. Wäre der Key nicht zugänglich, könnte das Secret nicht aktualisiert werden.
Nachdem der Angreifer den Key für das Secret geändert hat, passt er die Konfiguration seines Keys so an, dass nur noch er darauf zugreifen kann. Auf diese Weise werden in späteren Versionen des Secret diese mit dem neuen Key verschlüsselt, und da kein Zugriff darauf besteht, geht die Möglichkeit verloren, das Secret abzurufen.
Es ist wichtig zu beachten, dass diese Unzugänglichkeit nur bei späteren Versionen auftritt, nachdem sich der Inhalt des Secret geändert hat, da die aktuelle Version noch mit dem ursprünglichen KMS key verschlüsselt ist.
```bash
aws secretsmanager update-secret \
--secret-id MyTestSecret \
--kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
```
### DoS Löschen von Geheimnissen
### DoS: Secret löschen
Die minimale Anzahl an Tagen, um ein Geheimnis zu löschen, beträgt 7.
Die Mindestanzahl an Tagen, um ein Secret zu löschen, beträgt 7.
```bash
aws secretsmanager delete-secret \
--secret-id MyTestSecret \