gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/aws-security/aws-post-exploitation

Browse Source
This commit is contained in:
Translator
2025-10-01 10:29:36 +00:00
parent 47aa95aa9e
commit d3d2dc234e
1 changed files with 16 additions and 10 deletions
Download Patch File Download Diff File Expand all files Collapse all files

26
src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md
View File

@@ -1,40 +1,46 @@
# AWS - Secrets Manager Pós Exploração
# AWS - Secrets Manager Post Exploitation
{{#include ../../../banners/hacktricks-training.md}}
## Secrets Manager
Para mais informações, consulte:
Para mais informações veja:
{{#ref}}
../aws-services/aws-secrets-manager-enum.md
{{#endref}}
### Ler Segredos
### Read Secrets
Os **segredos em si são informações sensíveis**, [verifique a página de privesc](../aws-privilege-escalation/aws-secrets-manager-privesc.md) para aprender como lê-los.
Os **secrets são, por si só, informações sensíveis**, [check the privesc page](../aws-privilege-escalation/aws-secrets-manager-privesc.md) para aprender como lê-las.
### DoS Alterar Valor do Segredo
### DoS Change Secret Value
Alterando o valor do segredo, você poderia **DoS todo o sistema que depende desse valor.**
Ao alterar o valor do secret, você pode **causar DoS em todos os sistemas que dependem desse valor.**
> [!WARNING]
> Note que os valores anteriores também são armazenados, então é fácil voltar ao valor anterior.
> Observe que os valores anteriores também são armazenados, então é fácil simplesmente voltar ao valor anterior.
```bash
# Requires permission secretsmanager:PutSecretValue
aws secretsmanager put-secret-value \
--secret-id MyTestSecret \
--secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
```
### DoS Alterar chave KMS
### DoS Change KMS key
Se o atacante tiver a permissão secretsmanager:UpdateSecret, ele pode configurar o secret para usar uma KMS key de propriedade do atacante. Essa KMS key é inicialmente configurada de forma que qualquer pessoa possa acessá-la e usá-la, então atualizar o secret com a nova KMS key é possível. Se a KMS key não fosse acessível, o secret não poderia ser atualizado.
Depois de alterar a KMS key do secret, o atacante modifica a configuração da sua KMS key para que apenas ele possa acessá-la. Dessa forma, nas versões subsequentes do secret, ele será criptografado com a nova KMS key e, como não haverá acesso a ela, a capacidade de recuperar o secret será perdida.
É importante notar que essa inacessibilidade ocorrerá apenas em versões posteriores, após o conteúdo do secret ser alterado, já que a versão atual ainda está criptografada com a KMS key original.
```bash
aws secretsmanager update-secret \
--secret-id MyTestSecret \
--kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
```
### DoS Deletando Segredo
### DoS Deleting Secret
O número mínimo de dias para deletar um segredo é 7
O número mínimo de dias para excluir um secret é 7
```bash
aws secretsmanager delete-secret \
--secret-id MyTestSecret \