AWS - ECR Enum

AWS - ECR Enum

ECR

Basic Information

Amazon Elastic Container Registry (Amazon ECR) ni huduma ya usajili wa picha za kontena iliyo na usimamizi. Imeundwa ili kutoa mazingira ambapo wateja wanaweza kuingiliana na picha zao za kontena kwa kutumia interfaces zinazojulikana. Kwa haswa, matumizi ya Docker CLI au mteja yeyote anayependelea yanasaidiwa, kuruhusu shughuli kama vile kusukuma, kuvuta, na kusimamia picha za kontena.

ECR inajumuisha aina 2 za vitu: Registries na Repositories.

Registries

Kila akaunti ya AWS ina registries 2: Private & Public.

1. Private Registries:

• Binafsi kwa chaguo-msingi: Picha za kontena zilizohifadhiwa katika usajili wa kibinafsi wa Amazon ECR ni zinapatikana tu kwa watumiaji walioidhinishwa ndani ya akaunti yako ya AWS au kwa wale ambao wamepewa ruhusa.

• URI ya repository binafsi inafuata muundo <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>

• Udhibiti wa ufikiaji: Unaweza kudhibiti ufikiaji wa picha zako za kontena za kibinafsi kwa kutumia sera za IAM, na unaweza kuunda ruhusa za kina kulingana na watumiaji au majukumu.

• Ushirikiano na huduma za AWS: Registries za kibinafsi za Amazon ECR zinaweza kuunganishwa kwa urahisi na huduma nyingine za AWS, kama EKS, ECS...

• Chaguzi nyingine za usajili wa kibinafsi:

• Safu ya immutability ya Tag inaonyesha hali yake, ikiwa immutability ya tag imewezeshwa it zuia picha kusukumwa na tags zilizopo kutoka kufunika picha hizo.

• Safu ya aina ya usimbaji inaonyesha mali za usimbaji za repository, inaonyesha aina za usimbaji wa chaguo-msingi kama AES-256, au ina KMS iliyowezeshwa.

• Safu ya Pull through cache inaonyesha hali yake, ikiwa hali ya Pull through cache ni Active itahifadhi repositories katika usajili wa umma wa nje ndani ya repository yako binafsi.

• Sera maalum za IAM zinaweza kuundwa ili kutoa ruhusa tofauti.

• Mipangilio ya skanning inaruhusu kuskan picha za udhaifu zilizohifadhiwa ndani ya repo.

1. Public Registries:

• Upatikanaji wa umma: Picha za kontena zilizohifadhiwa katika usajili wa ECR Public ni zinapatikana kwa mtu yeyote kwenye mtandao bila uthibitisho.

• URI ya repository ya umma ni kama public.ecr.aws/<random>/<name>. Ingawa sehemu ya <random> inaweza kubadilishwa na msimamizi kuwa string nyingine rahisi kukumbuka.

Repositories

Hizi ni picha ambazo ziko katika usajili binafsi au katika umum.

Registry & Repository Policies

Registries & repositories pia zina sera ambazo zinaweza kutumika kutoa ruhusa kwa wahusika/akaunti nyingine. Kwa mfano, katika picha ya sera ya repository ifuatayo unaweza kuona jinsi mtumiaji yeyote kutoka shirika zima atavyoweza kufikia picha hiyo:

Enumeration

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Unauthenticated Enum

Privesc

Katika ukurasa ufuatao unaweza kuangalia jinsi ya kudhulumu ruhusa za ECR ili kupandisha mamlaka:

Post Exploitation

Persistence

References

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html