AWS - ECS Post Exploitation

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się sztuczkami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów github.

ECS

Aby uzyskać więcej informacji, sprawdź:

AWS - ECS Enum

Role IAM hosta

W ECS rola IAM może być przypisana do zadania działającego wewnątrz kontenera. Jeśli zadanie jest uruchamiane wewnątrz instancji EC2, to instancja EC2 będzie miała inną rolę IAM przypisaną do niej. Co oznacza, że jeśli uda ci się skomprymować instancję ECS, możesz potencjalnie uzyskać rolę IAM przypisaną do ECR i do instancji EC2. Aby uzyskać więcej informacji na temat tego, jak uzyskać te dane uwierzytelniające, sprawdź:

Zauważ, że jeśli instancja EC2 wymusza IMDSv2, zgodnie z dokumentacją, odpowiedź na żądanie PUT będzie miała limit skoków równy 1, co uniemożliwia dostęp do metadanych EC2 z kontenera wewnątrz instancji EC2.

Privesc do węzła, aby ukraść dane uwierzytelniające i sekrety innych kontenerów

Co więcej, EC2 używa dockera do uruchamiania zadań ECs, więc jeśli możesz uciec do węzła lub uzyskać dostęp do gniazda dockera, możesz sprawdzić, które inne kontenery są uruchamiane, a nawet wejść do nich i ukraść ich przypisane role IAM.

Uruchamianie kontenerów na bieżącym hoście

Ponadto, rola instancji EC2 zazwyczaj będzie miała wystarczające uprawnienia, aby aktualizować stan instancji kontenera instancji EC2 używanych jako węzły w klastrze. Atakujący mógłby zmodyfikować stan instancji na DRAINING, wtedy ECS usunie wszystkie zadania z niej, a te uruchamiane jako REPLICA będą uruchamiane w innej instancji, potencjalnie wewnątrz instancji atakującego, aby mógł ukraść ich role IAM i potencjalnie wrażliwe informacje z wnętrza kontenera.

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

Ta sama technika może być wykonana przez wyrejestrowanie instancji EC2 z klastra. Jest to potencjalnie mniej ukryte, ale wymusi uruchomienie zadań na innych instancjach:

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

Ostatnią techniką wymuszającą ponowne wykonanie zadań jest wskazanie ECS, że zadanie lub kontener został zatrzymany. Istnieją 3 potencjalne API, aby to zrobić:

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

Kradnij wrażliwe informacje z kontenerów ECR

Instancja EC2 prawdopodobnie będzie miała również uprawnienie ecr:GetAuthorizationToken, co pozwoli jej na pobieranie obrazów (możesz szukać w nich wrażliwych informacji).

Wsparcie HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Dziel się trikami hackingowymi, przesyłając PR-y do HackTricks i HackTricks Cloud repozytoriów na githubie.

PreviousAWS - ECR Post Exploitation NextAWS - EFS Post Exploitation

Last updated 3 days ago

ECS

Aby uzyskać więcej informacji, sprawdź:

AWS - ECS Enum

Role IAM hosta

Privesc do węzła, aby ukraść dane uwierzytelniające i sekrety innych kontenerów

Uruchamianie kontenerów na bieżącym hoście

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

Ta sama technika może być wykonana przez wyrejestrowanie instancji EC2 z klastra. Jest to potencjalnie mniej ukryte, ale wymusi uruchomienie zadań na innych instancjach:

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

Ostatnią techniką wymuszającą ponowne wykonanie zadań jest wskazanie ECS, że zadanie lub kontener został zatrzymany. Istnieją 3 potencjalne API, aby to zrobić:

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

Kradnij wrażliwe informacje z kontenerów ECR

Instancja EC2 prawdopodobnie będzie miała również uprawnienie ecr:GetAuthorizationToken, co pozwoli jej na pobieranie obrazów (możesz szukać w nich wrażliwych informacji).