Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
(From here) 高レベルでは、GitHubは開発者がコードを保存・管理し、コードの変更を追跡・制御するのを助けるウェブサイトおよびクラウドベースのサービスです。
Githubリポジトリは公開、非公開、内部として設定できます。
非公開は、組織の人だけがアクセスできることを意味します。
内部は、企業の人だけがアクセスできることを意味します(企業は複数の組織を持つことがあります)。
公開は、全てのインターネットがアクセスできることを意味します。
ターゲットにしたいユーザー、リポジトリ、または組織を知っている場合、github dorksを使用して、各リポジトリで機密情報や機密情報の漏洩を検索できます。
Githubは、ユーザー、リポジトリ、または組織をスコープとして指定して何かを検索することを許可します。したがって、機密情報の近くに表示される文字列のリストを使用して、ターゲット内の潜在的な機密情報を簡単に検索できます。
Tools (各ツールにはそのdorksのリストがあります):
github dorksは、github検索オプションを使用して漏洩を検索するためにも使用されることに注意してください。このセクションは、各リポジトリをダウンロードし、その中で機密情報を検索するツールに専念しています(特定のコミットの深さをチェックすることも含まれます)。
Tools (各ツールにはその正規表現のリストがあります):
リポジトリ内で漏洩を探し、git log -pのようなコマンドを実行する際は、他のコミットを含む他のブランチが存在する可能性があることを忘れないでください!
プルリクエストを悪用してリポジトリを妥協することが可能です。リポジトリが脆弱かどうかを知るには、主にGithub Actionsのyaml設定を読む必要があります。詳細は以下にあります。
削除されたリポジトリや内部リポジトリから機密データを取得することが可能な場合があります。ここで確認してください:
Accessible Deleted Data in Github組織のメンバーに割り当てることができるデフォルトの権限があります。これらは、ページhttps://github.com/organizations/<org_name>/settings/member_privilegesまたはOrganizations APIから制御できます。
基本的な権限: メンバーは、組織のリポジトリに対してNone/Read/write/Adminの権限を持ちます。推奨はNoneまたはReadです。
リポジトリのフォーク: 必要でない場合、メンバーが組織のリポジトリをフォークすることを許可しない方が良いです。
ページの作成: 必要でない場合、メンバーが組織のリポジトリからページを公開することを許可しない方が良いです。必要な場合は、公開または非公開のページを作成することを許可できます。
統合アクセス要求: これを有効にすると、外部のコラボレーターがこの組織とそのリソースにアクセスするためのGitHubまたはOAuthアプリへのアクセスを要求できるようになります。通常は必要ですが、必要でない場合は無効にする方が良いです。
この情報をAPIの応答で見つけられませんでした。見つけたら共有してください。
リポジトリの可視性の変更: 有効にすると、リポジトリに対して管理者権限を持つメンバーが可視性を変更できるようになります。無効にすると、組織のオーナーのみがリポジトリの可視性を変更できます。人々に公開にすることを望まない場合は、これを無効にしてください。
この情報をAPIの応答で見つけられませんでした。見つけたら共有してください。
リポジトリの削除と移行: 有効にすると、リポジトリに対して管理者権限を持つメンバーが公開および非公開のリポジトリを削除または移行できるようになります。
この情報をAPIの応答で見つけられませんでした。見つけたら共有してください。
メンバーがチームを作成することを許可: 有効にすると、組織のメンバーは新しいチームを作成できるようになります。無効にすると、組織のオーナーのみが新しいチームを作成できます。これを無効にしておく方が良いです。
この情報をAPIの応答で見つけられませんでした。見つけたら共有してください。
このページで他の設定も可能ですが、前述のものが最もセキュリティに関連しています。
いくつかのセキュリティ関連の設定は、ページhttps://github.com/organizations/<org_name>/settings/actionsから構成できます。
これらの設定は、各リポジトリでも独立して設定できることに注意してください。
Github actionsポリシー: どのリポジトリがワークフローを実行できるか、どのワークフローが許可されるべきかを指定できます。許可されるべきリポジトリを指定することを推奨し、すべてのアクションを実行することを許可しない方が良いです。
外部コラボレーターからのフォークプルリクエストワークフロー: すべての外部コラボレーターに対して承認を要求することを推奨します。
この情報を持つAPIは見つけられませんでした。見つけたら共有してください。
フォークプルリクエストからのワークフローの実行: プルリクエストからのワークフローを実行することは非常に推奨されません。フォーク元のメンテナーは、ソースリポジトリに対して読み取り権限を持つトークンを使用する能力を与えられます。
この情報を持つAPIは見つけられませんでした。見つけたら共有してください。
ワークフローの権限: リポジトリの読み取り権限のみを付与することを強く推奨します。GITHUB_TOKENを使用したワークフローの悪用を避けるために、書き込みやプルリクエストの作成/承認権限を与えることは推奨されません。
この情報にアクセスするためのAPIエンドポイントを知っている場合は教えてください!
サードパーティアプリケーションアクセスポリシー: すべてのアプリケーションへのアクセスを制限し、必要なもののみを許可することを推奨します(レビュー後)。
インストールされたGitHubアプリ: 必要なもののみを許可することを推奨します(レビュー後)。
このシナリオでは、githubアカウントへのアクセスを取得したと仮定します。
もし何らかの方法で組織内のユーザーの資格情報を持っている場合、ログインしてどの企業および組織の役割を持っているかを確認できます。生のメンバーであれば、生のメンバーが持つ権限、どのグループにいるか、どのリポジトリに対してどの権限を持っているか、およびリポジトリがどのように保護されているかを確認できます。
2FAが使用されている可能性があるため、そのチェックを通過できる場合にのみ、この情報にアクセスできることに注意してください。
user_sessionクッキーを盗むことに成功した場合(現在SameSite: Laxで設定されています)、資格情報や2FAなしでユーザーを完全に偽装できます。
役立つ場合に備えて、ブランチ保護のバイパスに関するセクションを確認してください。
Githubは、ユーザーがSSHキーを設定し、彼らの代わりにコードをデプロイするための認証方法として使用できるようにしています(2FAは適用されません)。
このキーを使用して、ユーザーがいくつかの権限を持つリポジトリで変更を行うことができますが、github apiにアクセスして環境を列挙するために使用することはできません。ただし、ローカル設定を列挙して、アクセスできるリポジトリやユーザーに関する情報を取得できます。
ユーザーが自分のGitHubユーザー名としてユーザー名を設定している場合、https://github.com/<github_username>.keys で彼のアカウントに設定された 公開鍵 にアクセスできます。これを確認して、見つけた秘密鍵が使用できるかどうかを確認できます。
SSH鍵 は デプロイ鍵 としてリポジトリに設定することもできます。この鍵にアクセスできる人は、リポジトリからプロジェクトを起動する ことができます。通常、異なるデプロイ鍵を持つサーバーでは、ローカルファイル ~/.ssh/config が関連する鍵に関する情報を提供します。
こちら で説明されているように、コミットに署名する必要がある場合や、発見される可能性があります。
現在のユーザーが鍵を持っているかどうかをローカルで確認してください:
ユーザートークンについての基本情報を確認してくださいの紹介。
ユーザートークンは、HTTPS経由のGitのパスワードの代わりに使用できるか、基本認証を介してAPIに認証するために使用できます。付与された権限に応じて、さまざまなアクションを実行できる場合があります。
ユーザートークンは次のようになります: ghp_EfHnQFcFHX6fGIu5mpduvRiYR584kK0dX123
Github Oauthアプリケーションについての基本情報を確認してくださいの紹介。
攻撃者は、フィッシングキャンペーンの一環として、ユーザーが受け入れる可能性のある悪意のあるOauthアプリケーションを作成して、特権データ/アクションにアクセスすることがあります。
これらは、Oauthアプリケーションが要求できるスコープです。常に要求されたスコープを確認してから受け入れるべきです。
さらに、基本情報で説明されているように、組織はサードパーティアプリケーションに対して情報/リポジトリ/アクションへのアクセスを与えたり拒否したりできます。
Githubアプリケーションについての基本情報を確認してくださいの紹介。
攻撃者は、フィッシングキャンペーンの一環として、ユーザーが受け入れる可能性のある悪意のあるGithubアプリケーションを作成して、特権データ/アクションにアクセスすることがあります。
さらに、基本情報で説明されているように、組織はサードパーティアプリケーションに対して情報/リポジトリ/アクションへのアクセスを与えたり拒否したりできます。
Github Actionを妥協し、悪用するためのいくつかの技術があります。ここで確認してください:
Abusing Github Actions承認の数を要求する: 複数のアカウントを妥協した場合、他のアカウントからPRを受け入れることができます。PRを作成したアカウントしか持っていない場合、自分のPRを受け入れることはできません。しかし、リポジトリ内のGithub Action環境にアクセスできる場合、GITHUB_TOKENを使用してPRを承認し、この方法で1つの承認を得ることができるかもしれません。
この点とCode Owners制限についての注意: 通常、ユーザーは自分のPRを承認できませんが、もしできる場合は、それを悪用して自分のPRを受け入れることができます。
新しいコミットがプッシュされたときに承認を取り消す: これが設定されていない場合、正当なコードを提出し、誰かが承認するのを待ってから、悪意のあるコードを追加して保護されたブランチにマージできます。
Code Ownersからのレビューを要求する: これが有効になっていて、あなたがCode Ownerであれば、Github ActionがあなたのPRを作成し、あなた自身で承認することができます。
CODEOWNERファイルが誤って設定されている場合、Githubは文句を言いませんが、それを使用しません。したがって、誤って設定されている場合は、Code Ownersの保護が適用されません。
指定されたアクターがプルリクエストの要件をバイパスできるようにする: あなたがこれらのアクターの1人であれば、プルリクエストの保護をバイパスできます。
管理者を含める: これが設定されていない場合、リポジトリの管理者であれば、このブランチの保護をバイパスできます。
PRハイジャック: 他の誰かのPRを変更して悪意のあるコードを追加し、結果として得られたPRを自分で承認してすべてをマージできるかもしれません。
ブランチ保護の削除: あなたがリポジトリの管理者であれば、保護を無効にし、PRをマージして保護を再設定できます。
プッシュ保護のバイパス: リポジトリが特定のユーザーのみがブランチにプッシュ(コードをマージ)できるようにしている場合(ブランチ保護がすべてのブランチを保護している可能性がありますが、ワイルドカード*を指定しています)。
リポジトリに対する書き込みアクセスがあるが、ブランチ保護のためにコードをプッシュできない場合、それでも新しいブランチを作成し、その中でコードがプッシュされたときにトリガーされるGithub Actionを作成できます。ブランチ保護はブランチが作成されるまで保護しないため、この最初のコードプッシュはGithub Actionを実行します。
Github環境についての基本情報を確認してくださいの紹介。
環境にすべてのブランチからアクセスできる場合、それは保護されていないため、環境内のシークレットに簡単にアクセスできます。すべてのブランチが保護されているリポジトリ(その名前を指定するか、*を使用することによって)を見つけることがあることに注意してください。その場合、コードをプッシュできるブランチを見つけ、新しいGithub Actionを作成することでシークレットを抽出できます(または1つを修正することができます)。
すべてのブランチが保護されている(ワイルドカード*を介して)場合、誰がブランチにコードをプッシュできるかが指定されていることに注意してください(これをブランチ保護で指定できます)し、あなたのユーザーは許可されていません。それでもカスタムGithub Actionを実行できます。なぜなら、ブランチを作成し、その上でプッシュトリガーを使用できるからです。ブランチ保護は新しいブランチへのプッシュを許可するため、Github Actionがトリガーされます。
注意してください。ブランチの作成後、ブランチ保護が新しいブランチに適用され、変更することはできませんが、その時点で既に秘密をダンプしているでしょう。
ユーザートークンを生成
シークレットからgithubトークンを盗む
ワークフローの結果とブランチの削除
全ての組織に対してより多くの権限を付与
情報を外部に流出させるためのウェブフックを作成
外部コラボレーターを招待
SIEMで使用されているウェブフックを削除
バックドアを持つGithub Actionを作成/変更
シークレット値の変更を通じてコマンドインジェクションに脆弱なGithub Actionを見つける
Githubでは、フォークからリポジトリにPRを作成することが可能です。PRが受け入れられなくても、元のリポジトリ内にコミットIDが作成され、フォーク版のコードが生成されます。したがって、攻撃者はリポジトリの所有者によって作成されていない、見た目上正当なリポジトリから特定のコミットを使用するようにピン留めすることができます。
For more info check https://www.chainguard.dev/unchained/what-the-fork-imposter-commits-in-github-actions-and-ci-cd
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
