gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['', 'src/pentesting-cloud/aws-security/aws-post-exploitation

Browse Source
This commit is contained in:
Translator
2025-10-01 10:28:23 +00:00
parent 50b81dd10a
commit f2bf0b551c
1 changed files with 12 additions and 6 deletions
Download Patch File Download Diff File Expand all files Collapse all files

18
src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md
View File

@@ -10,13 +10,13 @@ Pour plus d'informations, consultez :
../aws-services/aws-secrets-manager-enum.md
{{#endref}}
### Lire les Secrets
### Lire les secrets
Les **secrets eux-mêmes sont des informations sensibles**, [consultez la page privesc](../aws-privilege-escalation/aws-secrets-manager-privesc.md) pour apprendre comment les lire.
### DoS Changer la Valeur du Secret
### DoS Changer la valeur du secret
Changer la valeur du secret pourrait **DoS tout le système qui dépend de cette valeur.**
En changeant la valeur du secret, vous pourriez **DoS l'ensemble des systèmes qui dépendent de cette valeur.**
> [!WARNING]
> Notez que les valeurs précédentes sont également stockées, il est donc facile de revenir à la valeur précédente.
@@ -26,15 +26,21 @@ aws secretsmanager put-secret-value \
--secret-id MyTestSecret \
--secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}"
```
### DoS Changer la clé KMS
### DoS Change KMS key
Si l'attaquant dispose de la permission secretsmanager:UpdateSecret, il peut configurer le secret pour qu'il utilise une KMS key appartenant à l'attaquant. Cette KMS key est initialement configurée de sorte que n'importe qui puisse y accéder et l'utiliser, ce qui permet de mettre à jour le secret avec la nouvelle clé. Si la clé n'était pas accessible, le secret n'aurait pas pu être mis à jour.
Après avoir changé la KMS key du secret, l'attaquant modifie la configuration de sa KMS key pour que lui seul puisse y accéder. Ainsi, dans les versions ultérieures du secret, celui-ci sera chiffré avec la nouvelle clé et, faute d'accès à celle-ci, la possibilité de récupérer le secret sera perdue.
Il est important de noter que cette inaccessibilité ne se produira que sur les versions ultérieures, après que le contenu du secret ait changé, puisque la version actuelle reste chiffrée avec la KMS key originale.
```bash
aws secretsmanager update-secret \
--secret-id MyTestSecret \
--kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE
```
### DoS Suppression de Secret
### DoS Suppression d'un secret
Le nombre minimum de jours pour supprimer un secret est de 7
Le délai minimum pour supprimer un secret est de 7 jours
```bash
aws secretsmanager delete-secret \
--secret-id MyTestSecret \