AWS - ECR Persistence
Last updated
Last updated
学习和实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)
有关更多信息,请查看:
攻击者可以 将包含恶意代码的 Docker 镜像上传 到 ECR 仓库,并利用它在目标 AWS 账户中保持持久性。然后,攻击者可以以隐蔽的方式将恶意镜像部署到账户内的各种服务中,例如 Amazon ECS 或 EKS。
向单个仓库添加策略,授予自己(或所有人)对该仓库的访问权限:
请注意,ECR要求用户在通过IAM策略进行身份验证之前,必须具有权限以调用**ecr:GetAuthorizationToken
** API,以便能够对注册表进行身份验证并从任何Amazon ECR存储库推送或拉取任何镜像。
可以通过配置跨账户复制自动复制外部账户中的注册表,在那里您需要指明外部账户,以便复制注册表。
首先,您需要通过注册表策略授予外部账户对注册表的访问权限,例如:
然后应用复制配置:
学习与实践 AWS 黑客技术:HackTricks 培训 AWS 红队专家 (ARTE) 学习与实践 GCP 黑客技术:HackTricks 培训 GCP 红队专家 (GRTE)