AWS - ECS Enum

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.

ECS

Basic Information

Amazon Elastic Container Services ou ECS fournit une plateforme pour héberger des applications conteneurisées dans le cloud. ECS a deux méthodes de déploiement, le type d’instance EC2 et une option serverless, Fargate. Le service rend l’exécution de conteneurs dans le cloud très simple et sans douleur.

ECS fonctionne à l’aide des trois blocs de construction suivants : Clusters, Services, et Task Definitions.

• Les Clusters sont des groupes de conteneurs qui s’exécutent dans le cloud. Comme mentionné précédemment, il existe deux types de lancement pour les conteneurs : EC2 et Fargate. AWS définit le type de lancement EC2 comme permettant aux clients “d’exécuter [leurs] applications conteneurisées sur un cluster d’instances Amazon EC2 que [ils] gèrent”. Fargate est similaire et est défini comme “[vous permettant] d’exécuter vos applications conteneurisées sans avoir besoin de provisionner et gérer l’infrastructure backend”.
• Les Services sont créés au sein d’un cluster et sont responsables de l’exécution des tasks. Dans une définition de service, vous définissez le nombre de tasks à exécuter, l’auto scaling, le capacity provider (Fargate/EC2/External), des informations de networking telles que VPC, subnets, et security groups.
• Il y a 2 types d’applications :
• Service : Un groupe de tasks qui gère un travail de calcul de longue durée pouvant être arrêté et redémarré. Par exemple, une application web.
• Task : Une task autonome qui s’exécute puis se termine. Par exemple, un batch job.
• Parmi les applications de service, il existe 2 types de service schedulers :
• REPLICA : La stratégie de scheduling replica place et maintient le nombre souhaité de tasks à travers votre cluster. Si, pour une raison quelconque, une task s’arrête, une nouvelle est lancée sur le même nœud ou sur un nœud différent.
• DAEMON : Déploie exactement une task sur chaque instance de conteneur active qui possède les exigences nécessaires. Il n’est pas nécessaire de spécifier un nombre souhaité de tasks, une stratégie de placement des tasks, ni d’utiliser des politiques Service Auto Scaling.
• Les Task Definitions sont responsables de définir quels conteneurs vont s’exécuter et les différents paramètres qui seront configurés avec les conteneurs, tels que les port mappings avec l’hôte, les env variables, le Docker entrypoint…
• Vérifiez les env variables pour des infos sensibles !

Sensitive Data In Task Definitions

Les task definitions sont responsables de configurer les conteneurs réels qui vont s’exécuter dans ECS. Puisque les task definitions définissent comment les conteneurs vont s’exécuter, une multitude d’informations peut s’y trouver.

Pacu peut énumérer ECS (list-clusters, list-container-instances, list-services, list-task-definitions), il peut aussi dumper les task definitions.

Enumeration

# Clusters info
aws ecs list-clusters
aws ecs describe-clusters --clusters <cluster>

# Container instances
## An Amazon ECS container instance is an Amazon EC2 instance that is running the Amazon ECS container agent and has been registered into an Amazon ECS cluster.
aws ecs list-container-instances --cluster <cluster>
aws ecs describe-container-instances --cluster <cluster> --container-instances <container_instance_arn>

# Services info
aws ecs list-services --cluster <cluster>
aws ecs describe-services --cluster <cluster> --services <services>
aws ecs describe-task-sets --cluster <cluster> --service <service>

# Task definitions
aws ecs list-task-definition-families
aws ecs list-task-definitions
aws ecs list-tasks --cluster <cluster>
aws ecs describe-tasks --cluster <cluster> --tasks <tasks>
## Look for env vars and secrets used from the task definition
aws ecs describe-task-definition --task-definition <TASK_NAME>:<VERSION>

Énumération sur l’hôte via la base de données d’état de l’ECS Agent (agent.db)

Lorsque vous avez un accès shell sur une instance de conteneur ECS , ou que vous avez échappé à un conteneur avec un bind-mount de l’hôte de /var/lib/ecs (une mauvaise configuration courante lorsque les tasks s’exécutent en mode privilégié ou avec volumesFrom exposant le répertoire de données de l’hôte), l’agent ECS laisse agent.db sur le disque, qui peut être lu sans aucun appel AWS API, sans aucune permission IAM, et sans déclencher CloudTrail.

/var/lib/ecs/data/agent.db

(ou, lors de la lecture depuis un container qui a le host monté sur /host, /host/var/lib/ecs/data/agent.db).

# Most useful one-liner — dumps everything readable
strings /var/lib/ecs/data/agent.db

# From inside a container with the host mounted at /host
strings /host/var/lib/ecs/data/agent.db

# Filter for the highest-value artefacts
strings /var/lib/ecs/data/agent.db | grep -aE 'arn:aws:|AKIA|ASIA|"secret|password|TOKEN|credentials|taskRoleArn|executionRoleArn'

# Save the outcome from strings for offline analysis
strings /host/var/lib/ecs/data/agent.db >> /tmp/agent.txt
tr -s '{}[],:"\\' '\n' < /tmp/agent.txt | sed 's/^[[:space:]]*//; s/[[:space:]]*$//' | awk 'NF && length($0)>2 && !/^[0-9.]+$/' | sort -u

Ce que vous pouvez récupérer

Selon l’âge du cluster et le churn de la charge de travail, strings sur agent.db donne généralement :

• ARN des rôles IAM de task et d’exécution (taskRoleArn, executionRoleArn) pour chaque task que l’agent a exécutée — cibles utiles pour credential retrieval via the task metadata endpoint (169.254.170.2).
• Définitions complètes des tasks — URI d’images (souvent des repos ECR privés), command, entrypoint, port mappings, mount points, configuration de logs, et variables d’environnement en clair qui incluent fréquemment des URLs de base de données, des tokens API et des secrets tiers.
• Références de secrets — blocs secretOptions et secrets pointant vers des chemins SSM Parameter Store et des ARN Secrets Manager (excellente liste de pivot).
• ARN de container instance, ARN de cluster et token d’enregistrement — confirme le nom du cluster et le contexte account/region sans appel API.
• Métadonnées ENI — IP privées, adresses MAC, IDs de subnet et IDs de security group attribués en mode awsvpc (utile pour la planification du lateral movement).
• Identifiants de pull d’image — quand la task definition utilise repositoryCredentials, l’ARN Secrets Manager référencé se trouve ici ; sur les anciens agents, les blobs d’authentification de private-registry (ECS_ENGINE_AUTH_DATA) peuvent aussi être mis en cache.
• Containers de tasks récemment arrêtées — y compris les noms, IDs, exit codes et labels, parfois bien après que l’appel correspondant aws ecs describe-tasks ait expiré de la réponse API.

Unauthenticated Access

AWS - ECS Unauthenticated Enum

Privesc

In the following page you can check how to abuse ECS permissions to escalate privileges:

AWS - ECS Privesc

Post Exploitation

AWS - ECS Post Exploitation

Persistence

AWS - ECS Persistence

Tip

Apprenez & pratiquez AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Soutenez HackTricks

• Consultez les subscription plans!
• Rejoignez le 💬 Discord group ou le telegram group ou suivez-nous sur Twitter 🐦 @hacktricks_live.
• Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.