AWS - ECS Post Exploitation

ECS

Για περισσότερες πληροφορίες ελέγξτε:

Ρόλοι IAM Φιλοξενίας

Στο ECS, ένα IAM role μπορεί να ανατεθεί στην εργασία που εκτελείται μέσα στο κοντέινερ. Εάν η εργασία εκτελείται μέσα σε μια EC2 instance, η EC2 instance θα έχει ένα άλλο IAM role συσχετισμένο με αυτή. Αυτό σημαίνει ότι αν καταφέρετε να συμβιβάσετε μια ECS instance, μπορείτε δυνητικά να αποκτήσετε το IAM role που σχετίζεται με το ECR και με την EC2 instance. Για περισσότερες πληροφορίες σχετικά με το πώς να αποκτήσετε αυτές τις διαπιστεύσεις, ελέγξτε:

Cloud SSRFHackTricks

Privesc σε κόμβο για να κλέψει διαπιστεύσεις & μυστικά άλλων κοντέινερ

Επιπλέον, η EC2 χρησιμοποιεί docker για να εκτελεί τις εργασίες ECs, οπότε αν μπορείτε να διαφύγετε στον κόμβο ή να αποκτήσετε πρόσβαση στο docker socket, μπορείτε να ελέγξετε ποια άλλα κοντέινερ εκτελούνται, και ακόμη και να μπείτε μέσα τους και να κλέψετε τα IAM roles που είναι συσχετισμένα.

Εκτέλεση κοντέινερ στον τρέχοντα φιλοξενούμενο

Επιπλέον, το IAM role της EC2 instance θα έχει συνήθως αρκετές άδειες για να ενημερώσει την κατάσταση της instance κοντέινερ των EC2 instances που χρησιμοποιούνται ως κόμβοι μέσα στο cluster. Ένας επιτιθέμενος θα μπορούσε να τροποποιήσει την κατάσταση μιας instance σε DRAINING, τότε το ECS θα αφαιρέσει όλες τις εργασίες από αυτήν και αυτές που εκτελούνται ως REPLICA θα εκτελούνται σε μια διαφορετική instance, δυνητικά μέσα στην instance του επιτιθέμενου ώστε να μπορεί να κλέψει τα IAM roles τους και πιθανές ευαίσθητες πληροφορίες από μέσα στο κοντέινερ.

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

Η ίδια τεχνική μπορεί να γίνει με την απεγγραφή της EC2 παρουσίας από το cluster. Αυτό είναι δυνητικά λιγότερο κρυφό αλλά θα αναγκάσει τις εργασίες να εκτελούνται σε άλλες παρουσίες:

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

Μια τελική τεχνική για να αναγκάσετε την επανεκτέλεση των εργασιών είναι να υποδείξετε στο ECS ότι το task ή το container σταμάτησε. Υπάρχουν 3 πιθανά APIs για να το κάνετε αυτό:

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

Κλοπή ευαίσθητων πληροφοριών από κοντέινερ ECR

Η EC2 instance θα έχει πιθανώς επίσης την άδεια ecr:GetAuthorizationToken επιτρέποντάς της να κατεβάσει εικόνες (μπορείτε να αναζητήσετε ευαίσθητες πληροφορίες σε αυτές).