AWS - ECS Post Exploitation

Jifunze na zoea Udukuzi wa AWS:Mafunzo ya HackTricks AWS Timu Nyekundu Mtaalam (ARTE) Jifunze na zoea Udukuzi wa GCP: Mafunzo ya HackTricks GCP Timu Nyekundu Mtaalam (GRTE)

unga mkono HackTricks

Angalia mpango wa usajili!
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud github repos.

ECS

Kwa habari zaidi angalia:

AWS - ECS Enum

Majukumu ya IAM ya Mwenyeji

Katika ECS jukumu la IAM linaweza kupewa kwa kazi inayotumika ndani ya chombo. Ikiwa kazi hiyo inaendeshwa ndani ya kifaa cha EC2, kifaa cha EC2 kitakuwa na jukumu lingine la IAM limeambatanishwa nalo. Hii inamaanisha kwamba ikiwa unafanikiwa kuvunja kifaa cha ECS unaweza kupata jukumu la IAM lililoambatanishwa na ECR na kifaa cha EC2. Kwa habari zaidi kuhusu jinsi ya kupata sifa hizo angalia:

Cloud SSRFHackTricks

Tafadhali kumbuka kwamba ikiwa kifaa cha EC2 kinatumia IMDSv2, kulingana na nyaraka, jibu la ombi la PUT litakuwa na kikomo cha hatua ya 1, ikifanya iwe haiwezekani kupata metadata ya EC2 kutoka kwa chombo ndani ya kifaa cha EC2.

Privesc kwenda nodi kuiba sifa na siri za kontena nyingine

Zaidi ya hayo, EC2 hutumia docker kuendesha kazi za ECS, hivyo ikiwa unaweza kutoroka kwenye nodi au kupata soketi ya docker, unaweza kuangalia ni kontena nyingine zipi zinaendeshwa, na hata kuingia ndani yao na kuiba majukumu yao ya IAM yaliyoambatanishwa.

Kufanya kontena ziendeshwe kwenye mwenyeji wa sasa

Zaidi ya hayo, jukumu la kifaa cha EC2 kawaida litakuwa na idhini za kutosha za kuboresha hali ya kifaa cha kontena ya vifaa vya EC2 vinavyotumiwa kama nodi ndani ya kikundi. Mvamizi anaweza kubadilisha hali ya kifaa kuwa DRAINING, kisha ECS itaondoa kazi zote kutoka kwake na zile zinazoendeshwa kama REPLICA zitaendeshwa kwenye kifaa tofauti, huenda ndani ya kifaa cha mvamizi ili aweze kuiba majukumu yao ya IAM na habari nyeti inayowezekana kutoka ndani ya kontena.

aws ecs update-container-instances-state \
--cluster <cluster> --status DRAINING --container-instances <container-instance-id>

Teknolojia hiyo hiyo inaweza kufanywa kwa kufuta usajili wa kifaa cha EC2 kutoka kwenye kikundi. Hii inaweza kuwa sio ya siri lakini italazimisha kazi zifanyike kwenye vifaa vingine:

aws ecs deregister-container-instance \
--cluster <cluster> --container-instance <container-instance-id> --force

Mbinu ya mwisho ya kulazimisha utekelezaji upya wa kazi ni kwa kueleza ECS kwamba kazi au chombo kilisimamishwa. Kuna APIs 3 za uwezekano za kufanya hivi:

# Needs: ecs:SubmitTaskStateChange
aws ecs submit-task-state-change --cluster <value> \
--status STOPPED --reason "anything" --containers [...]

# Needs: ecs:SubmitContainerStateChange
aws ecs submit-container-state-change ...

# Needs: ecs:SubmitAttachmentStateChanges
aws ecs submit-attachment-state-changes ...

Kunasa taarifa nyeti kutoka kwenye mizigo ya ECR

Kifaa cha EC2 huenda pia kikawa na ruhusa ya ecr:GetAuthorizationToken kuruhusu kupakua picha (unaweza kutafuta taarifa nyeti ndani yake).

PreviousAWS - ECR Post Exploitation NextAWS - EFS Post Exploitation

Last updated 1 month ago