1.7 KiB
AWS - KMS Persistence
{{#include ../../../banners/hacktricks-training.md}}
KMS
Pour plus d'informations, consultez :
{{#ref}} ../aws-services/aws-kms-enum.md {{#endref}}
Accorder l'accès via les politiques KMS
Un attaquant pourrait utiliser la permission kms:PutKeyPolicy pour donner accès à une clé à un utilisateur sous son contrôle ou même à un compte externe. Consultez la page KMS Privesc pour plus d'informations.
Grant éternel
Les grants sont une autre façon de donner à un principal certaines permissions sur une clé spécifique. Il est possible de donner un grant qui permet à un utilisateur de créer des grants. De plus, un utilisateur peut avoir plusieurs grants (même identiques) sur la même clé.
Par conséquent, il est possible qu'un utilisateur ait 10 grants avec toutes les permissions. L'attaquant devrait surveiller cela en permanence. Et si à un moment donné 1 grant est supprimé, 10 autres devraient être générés.
(Nous utilisons 10 et non 2 pour pouvoir détecter qu'un grant a été supprimé alors que l'utilisateur a encore des grants)
# To generate grants, generate 10 like this one
aws kms create-grant \
--key-id <key-id> \
--grantee-principal <user_arn> \
--operations "CreateGrant" "Decrypt"
# To monitor grants
aws kms list-grants --key-id <key-id>
Note
Un grant peut donner des permissions uniquement à partir de ceci : https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations
{{#include ../../../banners/hacktricks-training.md}}