Concourse Lab Creation

Apprenez et pratiquez le hacking AWS :Formation HackTricks AWS Red Team Expert (ARTE) Apprenez et pratiquez le hacking GCP : Formation HackTricks GCP Red Team Expert (GRTE)

Soutenir HackTricks

Consultez les plans d'abonnement!
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PR aux HackTricks et HackTricks Cloud dépôts github.

Environnement de test

Exécution de Concourse

Avec Docker-Compose

Ce fichier docker-compose simplifie l'installation pour effectuer quelques tests avec concourse :

wget https://raw.githubusercontent.com/starkandwayne/concourse-tutorial/master/docker-compose.yml
docker-compose up -d

Vous pouvez télécharger la ligne de commande fly pour votre système d'exploitation depuis le web à 127.0.0.1:8080

Avec Kubernetes (Recommandé)

Vous pouvez facilement déployer concourse dans Kubernetes (dans minikube par exemple) en utilisant le helm-chart : concourse-chart.

brew install helm
helm repo add concourse https://concourse-charts.storage.googleapis.com/
helm install concourse-release concourse/concourse
# concourse-release will be the prefix name for the concourse elements in k8s
# After the installation you will find the indications to connect to it in the console

# If you need to delete it
helm delete concourse-release

Après avoir généré l'environnement concourse, vous pouvez générer un secret et donner un accès au SA exécuté dans concourse web pour accéder aux secrets K8s :

echo 'apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: read-secrets
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["get"]

---

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-secrets-concourse
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: read-secrets
subjects:
- kind: ServiceAccount
name: concourse-release-web
namespace: default

---

apiVersion: v1
kind: Secret
metadata:
name: super
namespace: concourse-release-main
type: Opaque
data:
secret: MWYyZDFlMmU2N2Rm

' | kubectl apply -f -

Créer un Pipeline

Un pipeline est composé d'une liste de Jobs qui contient une liste ordonnée de Steps.

Steps

Plusieurs types de steps différents peuvent être utilisés :

le task step exécute une task
le get step récupère une resource
le put step met à jour une resource
le set_pipeline step configure un pipeline
le load_var step charge une valeur dans une local var
le in_parallel step exécute des steps en parallèle
le do step exécute des steps en séquence
le across step modifier exécute un step plusieurs fois ; une fois pour chaque combinaison de valeurs de variables
le try step tente d'exécuter un step et réussit même si le step échoue

Chaque step dans un job plan s'exécute dans son propre conteneur. Vous pouvez exécuter tout ce que vous voulez à l'intérieur du conteneur (c'est-à-dire exécuter mes tests, exécuter ce script bash, construire cette image, etc.). Donc, si vous avez un job avec cinq steps, Concourse créera cinq conteneurs, un pour chaque step.

Par conséquent, il est possible d'indiquer le type de conteneur dans lequel chaque step doit être exécuté.

Exemple de Pipeline Simple

jobs:
- name: simple
plan:
- task: simple-task
privileged: true
config:
# Tells Concourse which type of worker this task should run on
platform: linux
image_resource:
type: registry-image
source:
repository: busybox # images are pulled from docker hub by default
run:
path: sh
args:
- -cx
- |
sleep 1000
echo "$SUPER_SECRET"
params:
SUPER_SECRET: ((super.secret))

fly -t tutorial set-pipeline -p pipe-name -c hello-world.yml
# pipelines are paused when first created
fly -t tutorial unpause-pipeline -p pipe-name
# trigger the job and watch it run to completion
fly -t tutorial trigger-job --job pipe-name/simple --watch
# From another console
fly -t tutorial intercept --job pipe-name/simple

Vérifiez 127.0.0.1:8080 pour voir le flux de la pipeline.

Script Bash avec pipeline d'entrée/sortie

Il est possible de sauvegarder les résultats d'une tâche dans un fichier et d'indiquer que c'est une sortie, puis d'indiquer l'entrée de la tâche suivante comme la sortie de la tâche précédente. Ce que fait concourse, c'est de monter le répertoire de la tâche précédente dans la nouvelle tâche où vous pouvez accéder aux fichiers créés par la tâche précédente.

Déclencheurs

Vous n'avez pas besoin de déclencher les travaux manuellement chaque fois que vous devez les exécuter, vous pouvez également les programmer pour qu'ils s'exécutent à chaque fois :

Un certain temps passe : Time resource
Sur de nouveaux commits dans la branche principale : Git resource
Nouveaux PR : Github-PR resource
Récupérer ou pousser la dernière image de votre application : Registry-image resource

Vérifiez un exemple de pipeline YAML qui se déclenche sur de nouveaux commits dans master à https://concourse-ci.org/tutorial-resources.html

Supportez HackTricks

Vérifiez les plans d'abonnement!
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez nous sur Twitter 🐦 @hacktricks_live.
Partagez des astuces de hacking en soumettant des PR aux HackTricks et HackTricks Cloud dépôts github.

PreviousConcourse Architecture NextConcourse Enumeration & Attacks

Last updated 3 days ago