AWS - ECR Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

ECR

Basic Information

Amazon Elastic Container Registry (Amazon ECR) ni huduma ya usajili wa picha za kontena inayosimamiwa. Imeundwa ili kutoa mazingira ambapo wateja wanaweza kuingiliana na picha zao za kontena kwa kutumia interfaces zinazojulikana. Kwa haswa, matumizi ya Docker CLI au mteja yeyote anayependelea yanasaidiwa, kuruhusu shughuli kama vile kusukuma, kuvuta, na kusimamia picha za kontena.

ECR inajumuisha aina 2 za vitu: Usajili na Hifadhi.

Usajili

Kila akaunti ya AWS ina usajili 2: Binafsi na Jumla.

Usajili Binafsi:

Binafsi kwa chaguo-msingi: Picha za kontena zilizohifadhiwa katika usajili wa binafsi wa Amazon ECR ni zinapatikana tu kwa watumiaji walioidhinishwa ndani ya akaunti yako ya AWS au kwa wale ambao wamepewa ruhusa.
URI ya hifadhi binafsi inafuata muundo <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
Udhibiti wa ufikiaji: Unaweza kudhibiti ufikiaji wa picha zako za kontena binafsi kwa kutumia sera za IAM, na unaweza kuunda ruhusa za kina kulingana na watumiaji au majukumu.
Ushirikiano na huduma za AWS: Usajili wa binafsi wa Amazon ECR unaweza kuunganishwa kwa urahisi na huduma nyingine za AWS, kama EKS, ECS...
Chaguzi nyingine za usajili binafsi:
Safu ya immutability ya Tag inaorodhesha hali yake, ikiwa immutability ya tag imewezeshwa it zuia picha kusukumwa na tags zilizopo kutoka kufunika picha hizo.
Safu ya aina ya Uthibitishaji inaorodhesha mali za uthibitishaji za hifadhi, inaonyesha aina za uthibitishaji za chaguo-msingi kama AES-256, au ina KMS iliyowezeshwa uthibitishaji.
Safu ya Pull through cache inaorodhesha hali yake, ikiwa hali ya Pull through cache ni Active itahifadhi hifadhi katika usajili wa umma wa nje ndani ya hifadhi yako binafsi.
Sera maalum za IAM zinaweza kuundwa ili kutoa ruhusa tofauti.
Mikakati ya skanning inaruhusu kuchunguza udhaifu katika picha zilizohifadhiwa ndani ya hifadhi.

Usajili wa Umma:

Upatikanaji wa umma: Picha za kontena zilizohifadhiwa katika usajili wa ECR wa Umma ni zinapatikana kwa mtu yeyote kwenye mtandao bila uthibitishaji.
URI ya hifadhi ya umma ni kama public.ecr.aws/<random>/<name>. Ingawa sehemu ya <random> inaweza kubadilishwa na msimamizi kuwa string nyingine rahisi kukumbuka.

Hifadhi

Hizi ni picha ambazo ziko katika usajili binafsi au katika umum.

Kumbuka kwamba ili kupakia picha kwenye hifadhi, hifadhi ya ECR inahitaji kuwa na jina sawa na picha.

Sera za Usajili & Hifadhi

Usajili & hifadhi pia zina sera ambazo zinaweza kutumika kutoa ruhusa kwa wahusika/akaunti nyingine. Kwa mfano, katika picha ya sera ya hifadhi ifuatayo unaweza kuona jinsi mtumiaji yeyote kutoka shirika zima atavyoweza kufikia picha hiyo:

Enumeration

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>