Azure Container Registries 凭据泄露场景下的利用思路<\/h1>

1. 概述<\/h2>
Azure Container Registries (ACR) 是 Microsoft 提供的用于管理云上 Docker 镜像的服务。当 ACR 的管理员凭据泄露时，攻击者可以利用这些凭据进行一系列操作，包括访问容器镜像、提取敏感信息，甚至可能提升在 Azure 订阅中的权限。<\/p>

2. 前提条件<\/h2>

已获取 ACR 管理员账户凭据（用户名\/密码格式）<\/li>
已知 ACR URL（如 exampleacr.azurecr.io）<\/li>

本地已安装 Docker 和 PowerShell（用于自动化操作）<\/li> <\/ul>

3. 利用步骤<\/h2>

3.1 登录 ACR<\/h3>

使用 Docker 命令登录到目标 ACR：<\/p>

docker login -u USER_NAME -p PASSWORD EXAMPLEACR.azurecr.io
<\/span><\/span><\/code><\/pre>3.2 枚举容器信息<\/h3>
3.2.1 列出所有容器<\/h4>
使用 Docker Registry API 列出所有容器：<\/p>
$username = "EXAMPLEACR"<\/span>
<\/span><\/span>$password = "A_$uper_g00D_P@ssW0rd"<\/span>
<\/span><\/span>$registry = "EXAMPLEACR.azurecr.io"<\/span>
<\/span><\/span>
<\/span><\/span>$base64AuthInfo = [Convert]<\/span>::ToBase64String([Text.Encoding]<\/span>::ASCII.GetBytes(("{0}:{1}"<\/span> -f<\/span> $username,$password)))
<\/span><\/span>
<\/span><\/span>$uri = "https:\/\/<\/span>$($registry)\/v2\/_catalog"<\/span>
<\/span><\/span>$response = Invoke-RestMethod -Uri $uri -Method Get -Headers @{Authorization=("Basic {0}"<\/span> -f<\/span> $base64AuthInfo)}
<\/span><\/span>$response.repositories
<\/span><\/span><\/code><\/pre>3.2.2 获取特定容器的版本信息<\/h4>
$imageName = "dockercore"<\/span>
<\/span><\/span>$uri = "https:\/\/<\/span>$($registry)\/v2\/<\/span>$($imageName)\/tags\/list"<\/span>
<\/span><\/span>$response = Invoke-RestMethod -Uri $uri -Method Get -Headers @{Authorization=("Basic {0}"<\/span> -f<\/span> $base64AuthInfo)}
<\/span><\/span>$response.tags
<\/span><\/span><\/code><\/pre>3.3 拉取容器镜像<\/h3>
使用 Docker 拉取特定容器：<\/p>
docker pull EXAMPLEACR.azurecr.io\/dockercore:1234
<\/span><\/span><\/code><\/pre>3.4 运行容器并获取交互式 Shell<\/h3>
docker run -it --entrypoint \/bin\/bash EXAMPLEACR.azurecr.io\/dockercore:1234
<\/span><\/span><\/code><\/pre>4. 使用 Azure CLI 的替代方法<\/h2>
如果已拥有 Azure 订阅访问权限，可以使用 Azure CLI 命令：<\/p>
4.1 列出订阅中的注册表<\/h3>
az acr list
<\/span><\/span><\/code><\/pre>4.2 列出特定注册表中的容器<\/h3>
az acr repository list --name netspiACR
<\/span><\/span><\/code><\/pre>4.3 列出容器的版本信息<\/h3>
az acr repository show-tags --name netspiACR --repository ACRtestImage
<\/span><\/span><\/code><\/pre>4.4 通过 Docker 认证<\/h3>
docker login EXAMPLEACR.azurecr.io
<\/span><\/span><\/code><\/pre>5. 实际攻击场景<\/h2>

发现公开的 Azure 存储账户，其中包含 ACR 管理员凭据的 Terraform 脚本<\/li>
使用 Docker 连接到 ACR<\/li>
列出容器名称和版本信息<\/li>
提取容器镜像<\/li>
在每个容器上运行 shell 并检查文件<\/li>
可能发现：

Azure 订阅的存储密钥<\/li>
Key Vault 凭据<\/li>
其他服务主体凭据<\/li>
<\/ul>
<\/li>
<\/ol>
6. 防御建议<\/h2>

禁用管理员账户<\/strong>：默认情况下 ACR 管理员账户是禁用的，保持此状态<\/li>
网络限制<\/strong>：对于高级 SKU，限制 ACR 对特定网络的访问<\/li>
权限控制<\/strong>：注意 ACR 的读权限，因为它允许列出和提取任何容器<\/li>
凭据保护<\/strong>：避免将 ACR 凭据存储在代码仓库或配置文件中<\/li>
定期轮换<\/strong>：定期更换 ACR 凭据<\/li>
<\/ol>
7. 自动化工具<\/h2>
MicroBurst 工具中的 GET-AzACR<\/code> 函数可以自动化上述过程：<\/p>
Get-AzACR -username EXAMPLEACR -password A_$uper_g00D_P@ssW0rd -registry EXAMPLEACR.azurecr.io
<\/span><\/span><\/code><\/pre>使用 -all<\/code> 参数获取所有容器的完整版本信息。<\/p>
8. 总结<\/h2>
ACR 凭据泄露可能导致严重的安全问题，攻击者可以：<\/p>

访问和下载私有容器镜像<\/li>
从容器中提取敏感信息<\/li>
可能获取 Azure 订阅中的其他凭据<\/li>
<\/ul>
组织应实施适当的访问控制和监控措施来保护 ACR 资源。<\/p>

Azure Container Registries 凭据泄露场景下的利用思路<\/h1>

3. 利用步骤<\/h2>

3.2 枚举容器信息<\/h3>

4. 使用 Azure CLI 的替代方法<\/h2> 如果已拥有 Azure 订阅访问权限，可以使用 Azure CLI 命令：<\/p>

4. 使用 Azure CLI 的替代方法<\/h2>
如果已拥有 Azure 订阅访问权限，可以使用 Azure CLI 命令：<\/p>