AWS - ECS Post Exploitation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

ECS

For more information check:

AWS - ECS Enum

Host IAM Roles

U ECS-u, IAM uloga može biti dodeljena zadatku koji se izvršava unutar kontejnera. Ako se zadatak izvršava unutar EC2 instance, EC2 instanca će imati drugu IAM ulogu prikačenu na nju. Što znači da ako uspete da kompromitujete ECS instancu, potencijalno možete dobiti IAM ulogu povezanu sa ECR-om i sa EC2 instancom. Za više informacija o tome kako dobiti te kredencijale, pogledajte:

Napomena: ako EC2 instanca primenjuje IMDSv2, prema dokumentaciji, odgovor PUT zahteva će imati hop limit od 1, što onemogućava pristup EC2 metapodacima iz kontejnera unutar EC2 instance.

Privesc to node to steal other containers creds & secrets

Ali više od toga, EC2 koristi docker za pokretanje ECs zadataka, tako da ako možete da pobegnete na čvor ili pristupite docker socket-u, možete proveriti koji se drugi kontejneri pokreću, i čak ući u njih i ukrasti njihove IAM uloge.

Making containers run in current host

Pored toga, EC2 instanca uloga obično će imati dovoljno dozvola da ažurira stanje kontejnerske instance EC2 instanci koje se koriste kao čvorovi unutar klastera. Napadač bi mogao da izmeni stanje instance na DRAINING, tada će ECS ukloniti sve zadatke sa nje i oni koji se izvršavaju kao REPLICA će biti pokrenuti na drugoj instanci, potencijalno unutar napadačeve instance tako da može ukrasti njihove IAM uloge i potencijalno osetljive informacije iz kontejnera.

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

Ista tehnika se može uraditi odjavljivanjem EC2 instance iz klastera. Ovo je potencijalno manje prikriveno, ali će prisiliti zadatke da se izvršavaju na drugim instancama:

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

Zadnja tehnika za prisiljavanje ponovnog izvršavanja zadataka je da se ECS-u naznači da je zadatak ili kontejner zaustavljen. Postoje 3 potencijalne API-ja za to:

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

Ukrao osetljive informacije iz ECR kontejnera

EC2 instanca će verovatno imati dozvolu ecr:GetAuthorizationToken koja joj omogućava da preuzme slike (možete tražiti osetljive informacije u njima).

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousAWS - ECR Post Exploitation NextAWS - EFS Post Exploitation

Last updated 3 days ago

ECS

For more information check:

AWS - ECS Enum

Host IAM Roles

Privesc to node to steal other containers creds & secrets

Making containers run in current host

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

Ista tehnika se može uraditi odjavljivanjem EC2 instance iz klastera. Ovo je potencijalno manje prikriveno, ali će prisiliti zadatke da se izvršavaju na drugim instancama:

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

Zadnja tehnika za prisiljavanje ponovnog izvršavanja zadataka je da se ECS-u naznači da je zadatak ili kontejner zaustavljen. Postoje 3 potencijalne API-ja za to:

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

Ukrao osetljive informacije iz ECR kontejnera

EC2 instanca će verovatno imati dozvolu ecr:GetAuthorizationToken koja joj omogućava da preuzme slike (možete tražiti osetljive informacije u njima).