AWS - ECR Enum

Reading time: 5 minutes

AWS - ECR Enum

ECR

Basic Information

Amazon Elastic Container Registry (Amazon ECR) ni huduma ya usajili wa picha za kontena inayosimamiwa. Imeundwa ili kutoa mazingira ambapo wateja wanaweza kuingiliana na picha zao za kontena kwa kutumia interfaces zinazojulikana. Kwa haswa, matumizi ya Docker CLI au mteja yeyote anayependelea yanasaidiwa, kuruhusu shughuli kama vile kusukuma, kuvuta, na kusimamia picha za kontena.

ECR inajumuisha aina 2 za vitu: Registries na Repositories.

Registries

Kila akaunti ya AWS ina registries 2: Private & Public.

1. Private Registries:

• Private by default: Picha za kontena zilizohifadhiwa katika usajili wa kibinafsi wa Amazon ECR ni zinapatikana tu kwa watumiaji walioidhinishwa ndani ya akaunti yako ya AWS au kwa wale ambao wamepewa ruhusa.
• URI ya repository ya kibinafsi inafuata muundo <account_id>.dkr.ecr.<region>.amazonaws.com/<repo-name>
• Access control: Unaweza kudhibiti ufikiaji wa picha zako za kontena za kibinafsi kwa kutumia sera za IAM, na unaweza kuunda ruhusa za kina kulingana na watumiaji au majukumu.
• Integration with AWS services: Usajili wa kibinafsi wa Amazon ECR unaweza kuunganishwa kwa urahisi na huduma nyingine za AWS, kama EKS, ECS...
• Other private registry options:
• Safu ya immutability ya Tag inaorodhesha hali yake, ikiwa immutability ya tag imewezeshwa it azuia picha kusukumwa na tags zilizopo kutoka kufuta picha hizo.
• Safu ya Encryption type inaorodhesha mali za usimbaji wa repository, inaonyesha aina za usimbaji wa kawaida kama AES-256, au ina KMS iliyoanzishwa.
• Safu ya Pull through cache inaorodhesha hali yake, ikiwa hali ya Pull through cache ni Active itahifadhi repositories katika usajili wa umma wa nje ndani ya repository yako ya kibinafsi.
• Sera maalum za IAM zinaweza kuundwa ili kutoa ruhusa tofauti.
• Mipangilio ya scanning inaruhusu kuchunguza udhaifu katika picha zilizohifadhiwa ndani ya repo.

2. Public Registries:

• Public accessibility: Picha za kontena zilizohifadhiwa katika usajili wa ECR Public ni zinapatikana kwa mtu yeyote kwenye mtandao bila uthibitisho.
• URI ya repository ya umma ni kama public.ecr.aws/<random>/<name>. Ingawa sehemu ya <random> inaweza kubadilishwa na msimamizi kuwa string nyingine rahisi kukumbuka.

Repositories

Hizi ni picha ambazo ziko katika usajili wa kibinafsi au kwa umum.

Registry & Repository Policies

Registries & repositories pia zina sera ambazo zinaweza kutumika kutoa ruhusa kwa wahusika/akaunti nyingine. Kwa mfano, katika picha ifuatayo ya sera ya repository unaweza kuona jinsi mtumiaji yeyote kutoka shirika zima atavyoweza kufikia picha hiyo:

Enumeration

# Get repos
aws ecr describe-repositories
aws ecr describe-registry

# Get image metadata
aws ecr list-images --repository-name <repo_name>
aws ecr describe-images --repository-name <repo_name>
aws ecr describe-image-replication-status --repository-name <repo_name> --image-id <image_id>
aws ecr describe-image-scan-findings --repository-name <repo_name> --image-id <image_id>
aws ecr describe-pull-through-cache-rules --repository-name <repo_name> --image-id <image_id>

# Get public repositories
aws ecr-public describe-repositories

# Get policies
aws ecr get-registry-policy
aws ecr get-repository-policy --repository-name <repo_name>

Unauthenticated Enum

AWS - ECR Unauthenticated Enum

Privesc

Katika ukurasa ufuatao unaweza kuangalia jinsi ya kudhulumu ruhusa za ECR ili kupandisha mamlaka:

AWS - ECR Privesc

Post Exploitation

AWS - ECR Post Exploitation

Persistence

AWS - ECR Persistence

References

• https://docs.aws.amazon.com/AmazonECR/latest/APIReference/Welcome.html