AWS - Codepipeline Privesc
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Para más información sobre codepipeline consulta:
AWS - DataPipeline, CodePipeline & CodeCommit Enumiam:PassRole
, codepipeline:CreatePipeline
, codebuild:CreateProject, codepipeline:StartPipelineExecution
Al crear un code pipeline puedes indicar un rol IAM de codepipeline para ejecutar, por lo tanto podrías comprometerlos.
Aparte de los permisos anteriores necesitarías acceso al lugar donde se almacena el código (S3, ECR, github, bitbucket...)
Probé esto realizando el proceso en la página web, los permisos indicados anteriormente no son los de List/Get necesarios para crear un codepipeline, pero para crearlo en la web también necesitarás: codebuild:ListCuratedEnvironmentImages, codebuild:ListProjects, codebuild:ListRepositories, codecommit:ListRepositories, events:PutTargets, codepipeline:ListPipelines, events:PutRule, codepipeline:ListActionTypes, cloudtrail:<varios>
Durante la creación del proyecto de construcción puedes indicar un comando para ejecutar (¿rev shell?) y ejecutar la fase de construcción como usuario privilegiado, esa es la configuración que necesita el atacante para comprometer:
codebuild:UpdateProject, codepipeline:UpdatePipeline, codepipeline:StartPipelineExecution
Podría ser posible modificar el rol utilizado y el comando ejecutado en un codepipeline con los permisos anteriores.
codepipeline:pollforjobs
Cuando se llama a esta API, CodePipeline devuelve credenciales temporales para el bucket S3 utilizado para almacenar artefactos para el pipeline, si la acción requiere acceso a ese bucket S3 para artefactos de entrada o salida. Esta API también devuelve cualquier valor secreto definido para la acción.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)