AWS Codebuild - Token Leakage
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Primero, verifica si hay credenciales de origen configuradas que podrías filtrar:
Si encuentras que la autenticación, por ejemplo, a Github está configurada en la cuenta, puedes exfiltrar ese acceso (token de GH o token de OAuth) haciendo que Codebuild utilice una imagen de docker específica para ejecutar la construcción del proyecto.
Para este propósito, podrías crear un nuevo proyecto de Codebuild o cambiar el entorno de uno existente para establecer la imagen de Docker.
La imagen de Docker que podrías usar es https://github.com/carlospolop/docker-mitm. Esta es una imagen de Docker muy básica que establecerá las variables de entorno https_proxy
, http_proxy
y SSL_CERT_FILE
. Esto te permitirá interceptar la mayor parte del tráfico del host indicado en https_proxy
y http_proxy
y confiar en el CERT SSL indicado en SSL_CERT_FILE
.
Crea y sube tu propia imagen de Docker MitM
Sigue las instrucciones del repositorio para establecer tu dirección IP de proxy y configurar tu certificado SSL y construir la imagen de docker.
NO CONFIGURES http_proxy
para no interceptar solicitudes al endpoint de metadatos.
Podrías usar ngrok
como ngrok tcp 4444
para establecer el proxy en tu host.
Una vez que tengas la imagen de Docker construida, cárgala en un repositorio público (Dockerhub, ECR...)
Configura el entorno
Crea un nuevo proyecto de Codebuild o modifica el entorno de uno existente.
Configura el proyecto para usar la imagen de Docker generada previamente.
Configura el proxy MitM en tu host
Como se indica en el repositorio de Github, podrías usar algo como:
La versión de mitmproxy utilizada fue 9.0.1, se informó que con la versión 10 esto podría no funcionar.
Ejecutar la construcción y capturar las credenciales
Puedes ver el token en el encabezado de Authorization:
Esto también se podría hacer desde la aws cli con algo como
Codebuild projects have a setting called insecureSsl
that is hidden in the web you can only change it from the API.
Habilitar esto permite a Codebuild conectarse al repositorio sin verificar el certificado ofrecido por la plataforma.
First you need to enumerate the current configuration with something like:
Luego, con la información recopilada, puedes actualizar la configuración del proyecto insecureSsl
a True
. El siguiente es un ejemplo de cómo actualicé un proyecto, nota el insecureSsl=True
al final (esto es lo único que necesitas cambiar de la configuración recopilada).
Además, agrega también las variables de entorno http_proxy y https_proxy apuntando a tu tcp ngrok como:
Luego, ejecuta el ejemplo básico de https://github.com/synchronizing/mitm en el puerto señalado por las variables de proxy (http_proxy y https_proxy)
Finalmente, haz clic en Construir el proyecto, las credenciales serán enviadas en texto claro (base64) al puerto mitm:
Esta vulnerabilidad fue corregida por AWS en algún momento de la semana del 20 de febrero de 2023 (creo que el viernes). Así que un atacante no puede abusar de ella más :)
Un atacante con permisos elevados en un CodeBuild podría filtrar el token de Github/Bitbucket configurado o si los permisos fueron configurados a través de OAuth, el token temporal de OAuth utilizado para acceder al código.
Un atacante podría agregar las variables de entorno http_proxy y https_proxy al proyecto de CodeBuild apuntando a su máquina (por ejemplo http://5.tcp.eu.ngrok.io:14972
).
Luego, cambia la URL del repositorio de github para usar HTTP en lugar de HTTPS, por ejemplo: http://github.com/carlospolop-forks/TestActions
Luego, ejecuta el ejemplo básico de https://github.com/synchronizing/mitm en el puerto señalado por las variables de proxy (http_proxy y https_proxy)
Finalmente, haz clic en Construir el proyecto, las credenciales serán enviadas en texto claro (base64) al puerto mitm:
Ahora un atacante podrá usar el token desde su máquina, listar todos los privilegios que tiene y (ab)usar más fácilmente que usando el servicio CodeBuild directamente.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)