GCP - Secrets Manager Enum

Tip

Jifunze na ufanye mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Saidia HackTricks

Angalia the subscription plans!

Jiunge na 💬 Discord group au the telegram group au utufuate kwenye Twitter 🐦 @hacktricks_live.

Shiriki hacking tricks kwa kutuma PRs kwa HackTricks and HackTricks Cloud github repos.

Secret Manager

Google Secret Manager ni suluhisho kama vault kwa kuhifadhi nywila, funguo za API, vyeti, faili (max 64KB) na data nyeti nyingine.

Siri inaweza kuwa na matoleo tofauti yanayohifadhi data tofauti.

Siri kwa kawaida zime sifiriwa kwa kutumia funguo inayosimamiwa na Google, lakini inawezekana kuchagua funguo kutoka KMS kutumia kuificha siri.

Kuhusu mzunguko, inawezekana kuweka ujumbe utakaotumwa kwa pub-sub kila idadi ya siku, msimbo unaosikiliza ujumbe hao unaweza kuzungusha siri.

Inawezekana kuweka siku ya kuondolewa kiotomatiki, wakati siku iliyoashiriwa imefikiwa, siri itafuta kiotomatiki.

Enumeration

# First, list the entries
gcloud secrets list
gcloud secrets get-iam-policy <secret_name>

# Then, pull the clear-text of any version of any secret
gcloud secrets versions list <secret_name>
gcloud secrets versions access 1 --secret="<secret_name>"

Privilege Escalation

Katika ukurasa ufuatao unaweza kuangalia jinsi ya kutumia vibaya ruhusa za secretmanager ili kupandisha hadhi.

GCP - Secretmanager Privesc

Mshambuliaji anaweza kuboresha siri ili kuacha mizunguko (hivyo haitabadilishwa), au kufanya mizunguko kuwa nadra zaidi (hivyo siri haitabadilishwa) au kuchapisha ujumbe wa mzunguko kwa pub/sub tofauti, au kubadilisha msimbo wa mzunguko unaotekelezwa (hii inatokea katika huduma tofauti, labda katika Cloud Function, hivyo mshambuliaji atahitaji ufikiaji wa juu juu ya Cloud Function au huduma nyingine yoyote)

Tip

Jifunze na ufanye mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na ufanye mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Jifunze na ufanye mazoezi ya Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Saidia HackTricks

Angalia the subscription plans!

Jiunge na 💬 Discord group au the telegram group au utufuate kwenye Twitter 🐦 @hacktricks_live.

Shiriki hacking tricks kwa kutuma PRs kwa HackTricks and HackTricks Cloud github repos.

HackTricks Cloud

GCP - Secrets Manager Enum

Secret Manager

Enumeration

Privilege Escalation

Post Exploitation

Persistence

Rotation misuse