AWS - ECS Post Exploitation

Impara e pratica l'Hacking su AWS: HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking su GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e ai repository github di HackTricks Cloud.

ECS

Per ulteriori informazioni, controlla:

AWS - ECS Enum

Ruoli IAM dell'host

In ECS un ruolo IAM può essere assegnato al task in esecuzione all'interno del container. Se il task viene eseguito all'interno di un'istanza EC2, l'istanza EC2 avrà un altro ruolo IAM ad esso associato. Ciò significa che se riesci a compromettere un'istanza ECS, potresti potenzialmente ottenere il ruolo IAM associato all'ECR e all'istanza EC2. Per ulteriori informazioni su come ottenere tali credenziali, controlla:

Cloud SSRFHackTricks

Nota che se l'istanza EC2 sta applicando IMDSv2, secondo la documentazione, la risposta della richiesta PUT avrà un limite di hop di 1, rendendo impossibile accedere ai metadati dell'EC2 da un container all'interno dell'istanza EC2.

Privesc al nodo per rubare le credenziali e i segreti di altri container

Inoltre, EC2 utilizza docker per eseguire i task di ECS, quindi se riesci a sfuggire al nodo o accedere al socket di docker, puoi controllare quali altri container vengono eseguiti, e persino entrare al loro interno e rubare i loro ruoli IAM associati.

Far eseguire i container nell'host corrente

Inoltre, il ruolo dell'istanza EC2 avrà di solito abbastanza permessi per aggiornare lo stato dell'istanza del container delle istanze EC2 utilizzate come nodi all'interno del cluster. Un attaccante potrebbe modificare lo stato di un'istanza in DRAINING, quindi ECS rimuoverà tutti i task da essa e quelli in esecuzione come REPLICA verranno eseguiti in un'istanza diversa, potenzialmente all'interno dell'istanza dell'attaccante in modo da poter rubare i loro ruoli IAM e informazioni sensibili potenziali dall'interno del container.

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

La stessa tecnica può essere eseguita deregistrando l'istanza EC2 dal cluster. Questo è potenzialmente meno stealthy ma costringerà i task ad essere eseguiti in altre istanze:

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

Un'ultima tecnica per forzare la ri-esecuzione dei compiti è indicare a ECS che il compito o il contenitore è stato arrestato. Ci sono 3 potenziali API per fare ciò:

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

Rubare informazioni sensibili dai container ECR

Probabilmente l'istanza EC2 avrà anche il permesso ecr:GetAuthorizationToken che le permette di scaricare immagini (potresti cercare informazioni sensibili al loro interno).

Impara e pratica l'Hacking AWS: HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica l'Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)

Sostieni HackTricks

Controlla i piani di abbonamento!
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi trucchi di hacking inviando PR ai HackTricks e HackTricks Cloud repository di Github.

PreviousAWS - ECR Post Exploitation NextAWS - EFS Post Exploitation

Last updated 1 month ago