From f2bf0b551cc9c9f8c9a6cf85f6cf0daaca76db95 Mon Sep 17 00:00:00 2001 From: Translator Date: Wed, 1 Oct 2025 10:28:23 +0000 Subject: [PATCH] Translated ['', 'src/pentesting-cloud/aws-security/aws-post-exploitation --- .../aws-secrets-manager-post-exploitation.md | 18 ++++++++++++------ 1 file changed, 12 insertions(+), 6 deletions(-) diff --git a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md index 21c80cffa..b511750d0 100644 --- a/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md +++ b/src/pentesting-cloud/aws-security/aws-post-exploitation/aws-secrets-manager-post-exploitation.md @@ -10,13 +10,13 @@ Pour plus d'informations, consultez : ../aws-services/aws-secrets-manager-enum.md {{#endref}} -### Lire les Secrets +### Lire les secrets Les **secrets eux-mêmes sont des informations sensibles**, [consultez la page privesc](../aws-privilege-escalation/aws-secrets-manager-privesc.md) pour apprendre comment les lire. -### DoS Changer la Valeur du Secret +### DoS — Changer la valeur du secret -Changer la valeur du secret pourrait **DoS tout le système qui dépend de cette valeur.** +En changeant la valeur du secret, vous pourriez **DoS l'ensemble des systèmes qui dépendent de cette valeur.** > [!WARNING] > Notez que les valeurs précédentes sont également stockées, il est donc facile de revenir à la valeur précédente. @@ -26,15 +26,21 @@ aws secretsmanager put-secret-value \ --secret-id MyTestSecret \ --secret-string "{\"user\":\"diegor\",\"password\":\"EXAMPLE-PASSWORD\"}" ``` -### DoS Changer la clé KMS +### DoS Change KMS key + +Si l'attaquant dispose de la permission secretsmanager:UpdateSecret, il peut configurer le secret pour qu'il utilise une KMS key appartenant à l'attaquant. Cette KMS key est initialement configurée de sorte que n'importe qui puisse y accéder et l'utiliser, ce qui permet de mettre à jour le secret avec la nouvelle clé. Si la clé n'était pas accessible, le secret n'aurait pas pu être mis à jour. + +Après avoir changé la KMS key du secret, l'attaquant modifie la configuration de sa KMS key pour que lui seul puisse y accéder. Ainsi, dans les versions ultérieures du secret, celui-ci sera chiffré avec la nouvelle clé et, faute d'accès à celle-ci, la possibilité de récupérer le secret sera perdue. + +Il est important de noter que cette inaccessibilité ne se produira que sur les versions ultérieures, après que le contenu du secret ait changé, puisque la version actuelle reste chiffrée avec la KMS key originale. ```bash aws secretsmanager update-secret \ --secret-id MyTestSecret \ --kms-key-id arn:aws:kms:us-west-2:123456789012:key/EXAMPLE1-90ab-cdef-fedc-ba987EXAMPLE ``` -### DoS Suppression de Secret +### DoS Suppression d'un secret -Le nombre minimum de jours pour supprimer un secret est de 7 +Le délai minimum pour supprimer un secret est de 7 jours ```bash aws secretsmanager delete-secret \ --secret-id MyTestSecret \