Concourse Lab Creation

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Testing Environment

Running Concourse

With Docker-Compose

Ten plik docker-compose upraszcza instalację, aby przeprowadzić kilka testów z concourse:

wget https://raw.githubusercontent.com/starkandwayne/concourse-tutorial/master/docker-compose.yml
docker-compose up -d

Możesz pobrać linię poleceń fly dla swojego systemu operacyjnego z sieci pod adresem 127.0.0.1:8080

Z Kubernetes (Zalecane)

Możesz łatwo wdrożyć concourse w Kubernetes (na przykład w minikube) używając helm-chart: concourse-chart.

brew install helm
helm repo add concourse https://concourse-charts.storage.googleapis.com/
helm install concourse-release concourse/concourse
# concourse-release will be the prefix name for the concourse elements in k8s
# After the installation you will find the indications to connect to it in the console

# If you need to delete it
helm delete concourse-release

Po wygenerowaniu środowiska concourse, możesz wygenerować sekret i przyznać dostęp do SA działającego w concourse web, aby uzyskać dostęp do sekretów K8s:

echo 'apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
name: read-secrets
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["get"]

---

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: read-secrets-concourse
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: ClusterRole
name: read-secrets
subjects:
- kind: ServiceAccount
name: concourse-release-web
namespace: default

---

apiVersion: v1
kind: Secret
metadata:
name: super
namespace: concourse-release-main
type: Opaque
data:
secret: MWYyZDFlMmU2N2Rm

' | kubectl apply -f -

Utwórz Pipeline

Pipeline składa się z listy Jobs, która zawiera uporządkowaną listę Steps.

Kroki

Można użyć kilku różnych typów kroków:

krok task uruchamia zadanie
krok get pobiera zasób
krok put aktualizuje zasób
krok set_pipeline konfiguruje pipeline
krok load_var ładuje wartość do zmiennej lokalnej
krok in_parallel uruchamia kroki równolegle
krok do uruchamia kroki w sekwencji
modyfikator kroku across uruchamia krok wielokrotnie; raz dla każdej kombinacji wartości zmiennych
krok try próbuje uruchomić krok i odnosi sukces, nawet jeśli krok się nie powiedzie

Każdy krok w planie zadania działa w swoim własnym kontenerze. Możesz uruchomić cokolwiek chcesz wewnątrz kontenera (tzn. uruchomić moje testy, uruchomić ten skrypt bash, zbudować ten obraz, itd.). Więc jeśli masz zadanie z pięcioma krokami, Concourse utworzy pięć kontenerów, po jednym dla każdego kroku.

Dlatego możliwe jest wskazanie, jaki typ kontenera potrzebuje każdy krok do uruchomienia.

Przykład prostego pipeline'a

jobs:
- name: simple
plan:
- task: simple-task
privileged: true
config:
# Tells Concourse which type of worker this task should run on
platform: linux
image_resource:
type: registry-image
source:
repository: busybox # images are pulled from docker hub by default
run:
path: sh
args:
- -cx
- |
sleep 1000
echo "$SUPER_SECRET"
params:
SUPER_SECRET: ((super.secret))

fly -t tutorial set-pipeline -p pipe-name -c hello-world.yml
# pipelines are paused when first created
fly -t tutorial unpause-pipeline -p pipe-name
# trigger the job and watch it run to completion
fly -t tutorial trigger-job --job pipe-name/simple --watch
# From another console
fly -t tutorial intercept --job pipe-name/simple

Sprawdź 127.0.0.1:8080, aby zobaczyć przepływ pipeline'u.

Skrypt Bash z potokiem wyjścia/wejścia

Możliwe jest zapisanie wyników jednego zadania w pliku i wskazanie, że jest to wyjście, a następnie wskazanie wejścia następnego zadania jako wyjścia poprzedniego zadania. To, co robi concourse, to zamontowanie katalogu poprzedniego zadania w nowym zadaniu, gdzie możesz uzyskać dostęp do plików utworzonych przez poprzednie zadanie.

Wyzwalacze

Nie musisz ręcznie wyzwalać zadań za każdym razem, gdy musisz je uruchomić, możesz również zaprogramować je do uruchamiania za każdym razem:

Mija trochę czasu: Time resource
Przy nowych commitach do głównej gałęzi: Git resource
Nowe PR: Github-PR resource
Pobierz lub wypchnij najnowszy obraz swojej aplikacji: Registry-image resource

Sprawdź przykład pipeline'u YAML, który wyzwala się przy nowych commitach do master w https://concourse-ci.org/tutorial-resources.html

Wsparcie dla HackTricks

Sprawdź plany subskrypcyjne!
Dołącz do 💬 grupy Discord lub grupy telegram lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się trikami hackingowymi, przesyłając PR do HackTricks i HackTricks Cloud repozytoriów github.

PreviousConcourse Architecture NextConcourse Enumeration & Attacks

Last updated 3 days ago